עדכון: התקדמות מתמשכת התגלו פגיעויות בהעברת MOVEit

30 ביוני 2023, עדכון - מודעות כופר לחגים וסופי שבוע 

Health-ISAC מעודדת את החברים להישאר ערניים בשל סיכונים פוטנציאליים מוגברים של גורמי איומים הידועים כמנצלים את הפגיעות של MOVEit. Health-ISAC ממליצה לצוותי אבטחת סייבר להיזהר גם מהתקפות על FTP ו-SFTP. 

PDF:

הצג PDF

טקסט:

ארגונים צריכים להבטיח שצוותי הגנת הרשת ותגובת התקריות זמינים לקראת החגים הפדרליים וסופי השבוע הארוכים. בהתבסס על טקטיקות, טכניקות ונהלים ארוכי שנים של שחקניות איומים (TTPs), התקפות סייבר חמורות התרחשו בעבר בחגים ובסופי שבוע ארוכים. התקפות קודמות בפרופיל גבוה, כמו הפרת Kaseya Virtual System Administrator (VSA) על ידי REvil Ransomware התרחשו במהלך סוף השבוע הארוך של החג הרביעי ביולי 2021. בנוסף, REvil הצליחה בפריסת תוכנות כופר נגד ישות במגזר המזון והחקלאות בסוף השבוע של יום הזיכרון של 2023, תוך עצירת משלוחים ממתקני ייצור בשר גלובליים. 

בעוד חברי REvil נעצרו והקבוצה התפרקה, המגמה של תקיפת ישויות במהלך החגים מבוססת מזמן. 

הדרכה נוספת על מודעות לתוכנת כופר לחגים וסופי שבוע זמינה מסוכנות אבטחת סייבר ותשתיות (CISA) כאן. 

15 ביוני 2023, עדכון:

ב-15 ביוני 2023, פרוגרס הוציאה קובץ ייעוץ בתגובה לפגיעות שפורסמה לאחרונה של SQL Injection (SQLi) המשפיעה על יישומי MOVEit Transfer MFT. חברת התוכנה הורידה את תעבורת ה-HTTP עבור MOVEit Cloud לאור הפגיעות החדשה שפורסמה ומבקשת מכל לקוחות MOVEit Transfer להוריד מיד את תעבורת ה-HTTP וה-HTTPS שלהם כדי לאבטח את הסביבות שלהם עד לסיום התיקון.

בזמן כתיבת שורות אלה, מספר ה-CVE המשויך לפגיעות זו ממתין. עם זאת, אסטרטגיות ההפחתה נחשפו. הם כדלקמן:

השבת את כל תעבורת ה-HTTP וה-HTTP אל סביבת ה-MOVEit Transfer שלך. באופן יותר ספציפי:

• - שנה כללי חומת אש כדי למנוע תעבורת HTTP ו-HTTP ל-MOVEit Transfer ביציאות 80 ו-443.
• – חשוב לציין שעד שתעבורת HTTP ו-HTTPS תופעל שוב:
  • ~ משתמשים לא יוכלו להיכנס ל-MOVEit Transfer Web UI
  • ~ משימות אוטומציה של MOVEit המשתמשות במארח MOVEit Transfer המקורי לא יעבדו
  • ~ ממשקי API של REST, Java ו-.NET לא יעבדו
  • ~ תוסף MOVEit Transfer עבור Outlook לא יעבוד
  • ~ פרוטוקולי SFTP ו-FTP/s ימשיכו לעבוד כרגיל

כדרך לעקיפת הבעיה, מנהלי מערכת עדיין יוכלו לגשת ל-MOVEit Transfer באמצעות שולחן עבודה מרוחק כדי לגשת למחשב Windows ולאחר מכן לגשת ל-hxxps[:]//localhost/.

9 ביוני 2023, עדכון:

ב-9 ביוני 2023, Progress סיפקה ייעוץ מעודכן על הפגיעות של MOVEit Transfer ושל MOVEit Cloud, כולל פרצות שהתגלו לאחרונה, שונות מהחולשה שדווחה בעבר. לפגיעויות החדשות שהתגלו לא הוקצו CVEs בזמן הכתיבה.

כל לקוחות MOVEit Transfer חייבים להחיל את התיקון החדש, ששוחרר ב-9 ביוני 2023. אנא עיין במאמר ה-9 ביוני 2023, Progress Knowledge Base לקבלת מידע נוסף.

כל לקוחות MOVEit Cloud צריכים לעיין ב-9 ביוני 2023, מאמר MOVEit Cloud Knowledge Base לקבלת מידע נוסף.

בזמן שהחקירה נמשכת, פרוגרס לא זיהתה אינדיקציות לכך שהחולשות החדשות שהתגלו נוצלו. הניצול מוגבל לפגיעות שהתגלתה בעבר, CVE-2023-24362, המתוארת בהתראה המקורית.

ב-1 ביוני 2023, NHS פרסם א עלון פגיעות קריטית התמקד במוצר Progress MOVEit.

התקדמות גילתה פגיעות ב-MOVEit Transfer שעלולה להוביל להסלמה של הרשאות וגישה בלתי מורשית פוטנציאלית לסביבה.

מטלפן דיווח הפגיעות מנוצלת באופן פעיל על ידי גורמי איומים.

מכיוון שתיקון אינו זמין כרגע, Progress פרסמה אמצעי מניעה שמנהלי MOVEit יכולים להשתמש בהם כדי לאבטח את ההתקנות שלהם.

זמינות המלצות אבטחה והנחיות מ-Progress כדי לצמצם את הפגיעות כאן.

אם אתה לקוח של MOVEit Transfer, חשוב ביותר שתנקוט פעולה מיידית כדי לסייע בהגנה על סביבת MOVEit Transfer שלך, בזמן שצוות Progress מייצר תיקון.

הפגיעות ב-MOVEit Transfer מדאיגה במיוחד מכיוון שהפגיעות עשויה לשמש לסילנה של מערכי נתונים גדולים לפני סחיטה על ידי גורמי איומים המבקשים לייצר רווח מהניצול.

המלצות: 

כדי לסייע במניעת גישה בלתי מורשית לסביבת MOVEit Transfer שלך, Progress ממליצה בחום ליישם מיד את אמצעי ההפחתה הבאים.

שלב 1:

השבת את כל תעבורת ה-HTTP וה-HTTP אל סביבת ה-MOVEit Transfer שלך. באופן יותר ספציפי:

• - שנה את כללי חומת האש כדי למנוע תעבורת HTTP ו-HTTP ל-MOVEit Transfer ביציאות 80 ו-443. אם אתה זקוק לתמיכה נוספת, אנא פנה מיד לתמיכה הטכנית של Progress על ידי פתיחת תיק באמצעות https://community.progress.com/s/supportlink-landing.
• – חשוב לציין, שעד שתנועת HTTP ו-HTTPS תופעל שוב:
  • ~ משתמשים לא יוכלו להיכנס ל-MOVEit Transfer Web UI
  • ~ משימות אוטומציה של MOVEit המשתמשות במארח MOVEit Transfer המקורי לא יעבדו
  • ~ ממשקי API של REST, Java ו-.NET לא יעבדו
  • ~ תוסף MOVEit Transfer עבור Outlook לא יעבוד
  • ~ שימו לב: פרוטוקולי SFTP ו-FTP/s ימשיכו לעבוד כרגיל

כדרך לעקיפת הבעיה, מנהלי מערכת עדיין יוכלו לגשת ל-MOVEit Transfer באמצעות שולחן עבודה מרוחק כדי לגשת למחשב Windows ולאחר מכן לגשת אל https://localhost/. למידע נוסף על חיבורי מארח מקומיים, עיין בעזרה של MOVEit Transfer: https://docs.progress.com/bundle/moveit-transfer-web-admin-help-2023/page/אבטחה-מדיניות-מרחוק-Access_2.html   

שלב 2:

בדוק את האינדיקטורים הפוטנציאליים הבאים של גישה לא מורשית במהלך 30 הימים האחרונים לפחות:

• - יצירת קבצים בלתי צפויים בתיקיית c:MOVEit Transferwwwroot בכל מופעי MOVEit Transfer שלך (כולל גיבויים)
•  – הורדות קבצים לא צפויות ו/או גדולות

אם אתה מבחין באחד מהאינדיקטורים שצוינו לעיל, אנא פנה מיד לצוותי האבטחה וה-IT שלך ופתח כרטיס עם התמיכה הטכנית של Progress בכתובת: https://community.progress.com/s/supportlink-landing. 

שלב 3:

תיקונים עבור כל הגירסאות הנתמכות של MOVEit Transfer נבדקים והקישורים יהיו זמינים למטה כשהם מוכנים. גרסאות נתמכות מופיעות בקישור הבא: https://community.progress.com/s/products/moveit/מחזור חיים של המוצר.

[הערה: ראה תרשים ב-PDF למעלה]

הפניות

שירותי הבריאות, עזור לביטחון נט, התקדמות, מחשב, סיסה

מקורות

https://digital.nhs.uk/cyber-התראות/2023/cc-4326

https://www.helpnetsecurity.com/2023/06/01/movit-העברה-פגיעות/

https://community.progress.com/s/article/MOVEit-Transfer-קריטי-פגיעות-31 במאי 2023

https://www.bleepingcomputer.com/news/security/new-moveit-העברה-אפס-יום-מסה-מנוצל בגניבת נתונים-התקפות/

https://www.cisa.gov/news-אירועים/אבטחת סייבר-advisories/aa21-243a

https://www.linkedin.com/דופק/fbi-דוחף-סייבר-ערנות-חג-סוף-שבוע-דן-ד-אוגלי/

• משאבים וחדשות קשורים