TLP:WIT
Op 1 juni 2023 publiceerde NHS een kritieke kwetsbaarheid bulletin gericht op het Progress MOVEit File Transfer (MFT) product.
Progress ontdekte een kwetsbaarheid in MOVEit Transfer die kan leiden tot verhoogde rechten en mogelijk ongeautoriseerde toegang tot de omgeving.
BeginnersWeb gerapporteerd De kwetsbaarheid wordt actief uitgebuit door kwaadwillende actoren.
Omdat er momenteel geen patch beschikbaar is, heeft Progress maatregelen uitgebracht waarmee MOVEit-beheerders hun installaties kunnen beveiligen.
Er zijn beveiligingsaanbevelingen en richtlijnen van Progress beschikbaar om de kwetsbaarheid te beperken hier.
Als u een MOVEit Transfer-klant bent, is het van groot belang dat u onmiddellijk actie onderneemt om uw MOVEit Transfer-omgeving te beschermen terwijl het Progress-team een patch produceert.
De kwetsbaarheid in MOVEit Transfer is vooral zorgwekkend omdat de kwetsbaarheid kan worden gebruikt bij de exfiltratie van grote datasets, voordat kwaadwillenden deze kunnen afpersen en geld willen verdienen met de exploit.
Om ongeautoriseerde toegang tot uw MOVEit Transfer-omgeving te voorkomen, raadt Progress u ten zeerste aan om onmiddellijk de volgende beperkende maatregelen te nemen.
Stap 1:
Schakel alle HTTP- en HTTPS-verkeer naar uw MOVEit Transfer-omgeving uit. Meer specifiek:
- Wijzig firewallregels om HTTP- en HTTPS-verkeer naar MOVEit Transfer op poorten 80 en 443 te weigeren. Als u aanvullende
ondersteuning, neem dan onmiddellijk contact op met Progress Technische Ondersteuning door een case te openen via https://community. progress.com/s/supportlink- .landing
- Het is belangrijk om op te merken dat totdat HTTP- en HTTPS-verkeer weer wordt ingeschakeld:
- Gebruikers kunnen niet inloggen op de MOVEit Transfer-webinterface
- MOVEit Automation-taken die gebruikmaken van de native MOVEit Transfer-host werken niet
- REST-, Java- en .NET-API's werken niet
- MOVEit Transfer-invoegtoepassing voor Outlook werkt niet
- Let op: SFTP- en FTP/s-protocollen blijven normaal werken
Als tijdelijke oplossing kunnen beheerders nog steeds toegang krijgen tot MOVEit Transfer door een extern bureaublad te gebruiken om toegang te krijgen tot de Windows-machine en vervolgens toegang te krijgen tot https://localhost/. Raadpleeg voor meer informatie over localhost-verbindingen de MOVEit Transfer Help: https://docs.progress.
Stap 2:
Controleer op de volgende mogelijke indicatoren van ongeautoriseerde toegang gedurende ten minste de afgelopen 30 dagen:
- Het aanmaken van onverwachte bestanden in de map c:MOVEit Transferwwwroot op al uw MOVEit Transfer-instanties (inclusief back-ups)
- Onverwachte en/of grote bestandsdownloads
Als u een van de hierboven genoemde indicatoren opmerkt, neem dan onmiddellijk contact op met uw beveiligings- en IT-teams en open een ticket bij Progress Technical Support op: https://community.
Stap 3:
Patches voor alle ondersteunde MOVEit Transfer-versies worden getest en links worden hieronder beschikbaar gesteld zodra ze klaar zijn. Ondersteunde versies worden vermeld op de volgende link: https://community.
Betrokken versie
Vaste versie
Documentatie
MOVEit-overdracht 2023.0.0
MOVEit 2023 Upgrade-documentatie
MOVEit-overdracht 2022.1.x
MOVEit 2022 Upgrade-documentatie
MOVEit-overdracht 2022.0.x
MOVEit-overdracht 2021.1.x
MOVEit 2021 Upgrade-documentatie
Referentie (s)
NHS, Help internetbeveiliging, Voortgang, De computer laten leeglopen
Bronnen
https://digital.nhs.uk/cyber-
https://www.helpnetsecurity.
https://community.progress.
Waarschuwings-ID 2bfc1d4b
- Gerelateerde bronnen en nieuws