TLP:VIT
Den 1 juni 2023 publicerade NHS en kritisk sårbarhet bulletinen fokuserade på produkten Progress MOVEit File Transfer (MFT).
Progress upptäckte en sårbarhet i MOVEit Transfer som kan leda till eskalerade privilegier och potentiell obehörig åtkomst till miljön.
BleepingComputer rapporterade sårbarheten utnyttjas aktivt av hotaktörer.
Eftersom en patch för närvarande inte är tillgänglig har Progress släppt begränsningar som MOVEit-administratörer kan använda för att säkra sina installationer.
Säkerhetsrekommendationer och vägledning från Progress för att mildra sårbarheten finns tillgängliga här..
Om du är en MOVEit Transfer-kund är det extremt viktigt att du vidtar omedelbara åtgärder för att skydda din MOVEit Transfer-miljö, medan Progress-teamet producerar en patch.
Sårbarheten i MOVEit Transfer är särskilt oroande eftersom sårbarheten kan användas vid exfiltrering av stora datamängder före utpressning av hotaktörer som försöker tjäna pengar på utnyttjandet.
För att förhindra obehörig åtkomst till din MOVEit Transfer-miljö rekommenderar Progress starkt att du omedelbart tillämpar följande begränsningsåtgärder.
Steg 1:
Inaktivera all HTTP- och HTTPs-trafik till din MOVEit Transfer-miljö. Mer specifikt:
- Ändra brandväggsregler för att neka HTTP- och HTTP-trafik till MOVEit Transfer på portarna 80 och 443. Om du behöver ytterligare
support, kontakta omedelbart Progress teknisk support genom att öppna ett ärende via https://community. progress.com/s/supportlink- .landning
- Det är viktigt att notera att tills HTTP- och HTTPS-trafik aktiveras igen:
- Användare kommer inte att kunna logga in på MOVEit Transfers webbgränssnitt
- MOVEit Automation-uppgifter som använder den inbyggda MOVEit Transfer-värden kommer inte att fungera
- REST, Java och .NET API:er kommer inte att fungera
- MOVEit Transfer-tillägget för Outlook fungerar inte
- Observera: SFTP- och FTP/s-protokollen kommer att fortsätta att fungera som vanligt
Som en lösning kommer administratörer fortfarande att kunna komma åt MOVEit Transfer genom att använda ett fjärrskrivbord för att komma åt Windows-maskinen och sedan komma åt https://localhost/. För mer information om lokala värdanslutningar, se hjälpen för MOVEit Transfer: https://docs.progress.
Steg 2:
Kontrollera efter följande potentiella indikatorer på obehörig åtkomst under åtminstone de senaste 30 dagarna:
- Skapande av oväntade filer i mappen c:MOVEit Transferwwwroot på alla dina MOVEit Transfer-instanser (inklusive säkerhetskopior)
- Oväntade och/eller stora filnedladdningar
Om du märker någon av indikatorerna ovan, kontakta omedelbart dina säkerhets- och IT-team och öppna en biljett med Progress teknisk support på: https://community.
Steg 3:
Patchar för alla MOVEit Transfer-versioner som stöds testas och länkar kommer att göras tillgängliga nedan när de är klara. Stödda versioner listas på följande länk: https://community.
Berörd version
Fast version
Dokumentation
MOVEit Transfer 2023.0.0
MOVEit 2023 uppgraderingsdokumentation
MOVEit Transfer 2022.1.x
MOVEit 2022 uppgraderingsdokumentation
MOVEit Transfer 2022.0.x
MOVEit Transfer 2021.1.x
MOVEit 2021 uppgraderingsdokumentation
Referens (s)
NHS, Hjälp Net Security, Framsteg, Bleeping Computer
Källor
https://digital.nhs.uk/cyber-
https://www.helpnetsecurity.
https://community.progress.
Varnings-ID 2bfc1d4b
- Relaterade resurser och nyheter