TLP: HVIT
1. juni 2023 publiserte NHS en kritisk sårbarhet bulletin fokuserte på Progress MOVEit File Transfer (MFT)-produktet.
Progress oppdaget en sårbarhet i MOVEit Transfer som kan føre til eskalerte rettigheter og potensiell uautorisert tilgang til miljøet.
BleepingComputer rapportert sårbarheten blir aktivt utnyttet av trusselaktører.
Ettersom en oppdatering for øyeblikket ikke er tilgjengelig, har Progress gitt ut avbøtende tiltak som MOVEit-administratorer kan bruke for å sikre installasjonene sine.
Sikkerhetsanbefalinger og veiledning fra Progress for å redusere sårbarheten er tilgjengelig her..
Hvis du er en MOVEit Transfer-kunde, er det ekstremt viktig at du tar umiddelbare tiltak for å beskytte ditt MOVEit Transfer-miljø, mens Progress-teamet produserer en oppdatering.
Sårbarheten i MOVEit Transfer er spesielt bekymringsfull ettersom sårbarheten kan brukes i eksfiltrering av store datasett før utpressing av trusselaktører som ønsker å tjene penger på utnyttelsen.
For å bidra til å forhindre uautorisert tilgang til MOVEit Transfer-miljøet ditt, anbefaler Progress på det sterkeste at du umiddelbart bruker følgende avbøtende tiltak.
Trinn 1:
Deaktiver all HTTP- og HTTP-trafikk til ditt MOVEit Transfer-miljø. Mer spesifikt:
- Endre brannmurregler for å nekte HTTP- og HTTP-trafikk til MOVEit Transfer på portene 80 og 443. Hvis du trenger ytterligere
kundestøtte, vennligst kontakt Progress teknisk støtte umiddelbart ved å åpne en sak via https://community. progress.com/s/supportlink- .landing
- Det er viktig å merke seg at inntil HTTP- og HTTPS-trafikk er aktivert igjen:
- Brukere vil ikke kunne logge på MOVEit Transfer web-UI
- MOVEit Automation-oppgaver som bruker den opprinnelige MOVEit Transfer-verten vil ikke fungere
- REST, Java og .NET APIer vil ikke fungere
- MOVEit Transfer-tillegget for Outlook vil ikke fungere
- Merk: SFTP- og FTP/s-protokollene vil fortsette å fungere som normalt
Som en løsning vil administratorer fortsatt kunne få tilgang til MOVEit Transfer ved å bruke et eksternt skrivebord for å få tilgang til Windows-maskinen og deretter få tilgang til https://localhost/. For mer informasjon om lokale vertstilkoblinger, se MOVEit Transfer Help: https://docs.progress.
Trinn 2:
Se etter følgende potensielle indikatorer på uautorisert tilgang i løpet av minst de siste 30 dagene:
- Oppretting av uventede filer i c:MOVEit Transferwwwroot-mappen på alle MOVEit Transfer-forekomster (inkludert sikkerhetskopier)
- Uventede og/eller store filnedlastinger
Hvis du merker noen av indikatorene nevnt ovenfor, vennligst kontakt sikkerhets- og IT-teamene dine umiddelbart og åpne en billett med Progress Technical Support på: https://community.
Trinn 3:
Patcher for alle støttede MOVEit Transfer-versjoner blir testet og lenker vil bli gjort tilgjengelig nedenfor etter hvert som de er klare. Støttede versjoner er oppført på følgende lenke: https://community.
Berørt versjon
Fast versjon
Teknisk dokumentasjon
MOVEit Transfer 2023.0.0
MOVEit 2023 oppgraderingsdokumentasjon
MOVEit Transfer 2022.1.x
MOVEit 2022 oppgraderingsdokumentasjon
MOVEit Transfer 2022.0.x
MOVEit Transfer 2021.1.x
MOVEit 2021 oppgraderingsdokumentasjon
Referanse(r)
NHS, Hjelp Net Security, Progress, Bleeping Computer
Kilder
https://digital.nhs.uk/cyber-
https://www.helpnetsecurity.
https://community.progress.
Varsel-ID 2bfc1d4b
- Relaterte ressurser og nyheter