Οι φορείς απειλών προσπαθούν ήδη να εκμεταλλευτούν ένα ελάττωμα παράκαμψης κρίσιμου ελέγχου ταυτότητας στο Progress MOVEit Transfer, λιγότερο από μία ημέρα αφότου το αποκάλυψε ο προμηθευτής.
Το MOVEit Transfer είναι μια λύση διαχειριζόμενης μεταφοράς αρχείων (MFT) που χρησιμοποιείται σε εταιρικά περιβάλλοντα για την ασφαλή μεταφορά αρχείων μεταξύ επιχειρηματικών συνεργατών και πελατών χρησιμοποιώντας τα πρωτόκολλα SFTP, SCP και HTTP.
Το νέο ζήτημα ασφαλείας έλαβε το αναγνωριστικό
CVE-2024-5806
και επιτρέπει στους εισβολείς να παρακάμψουν τη διαδικασία ελέγχου ταυτότητας στη λειτουργική μονάδα Secure File Transfer Protocol (SFTP), η οποία είναι υπεύθυνη για τις λειτουργίες μεταφοράς αρχείων μέσω SSH.
Ένας εισβολέας που εκμεταλλεύεται αυτό το ελάττωμα θα μπορούσε να έχει πρόσβαση σε ευαίσθητα δεδομένα που είναι αποθηκευμένα στον διακομιστή μεταφοράς MOVEit, να ανεβάσει, να κατεβάσει, να διαγράψει ή να τροποποιήσει αρχεία και να παρεμποδίσει ή να παραβιάσει τις μεταφορές αρχείων.
Διαθέσιμος κώδικας εκμετάλλευσης
Η πλατφόρμα παρακολούθησης απειλών Shadowserver Foundation ανέφερε ότι είδε προσπάθειες εκμετάλλευσης λίγο μετά τη δημοσίευση του ενημερωτικού δελτίου στο CVE-2024-5806, επομένως οι χάκερ επιτίθενται ήδη σε ευάλωτα τελικά σημεία.
Οι σαρώσεις δικτύου από το Censys δείχνουν ότι υπάρχουν αυτήν τη στιγμή
2.700 παρουσίες μεταφοράς MOVEit που εκτίθενται στο διαδίκτυο
οι περισσότερες βρίσκονται στις ΗΠΑ, το
Ηνωμένο Βασίλειο
, τη Γερμανία, τον Καναδά και την Ολλανδία.
Παρουσίες MOVEit Transfer που εκτίθενται στο
Διαδίκτυο
Πηγή: Censys
Ωστόσο, το ποσοστό όσων δεν έχουν εφαρμόσει τις ενημερώσεις ασφαλείας ή/και τους προτεινόμενους μετριασμούς για το ελάττωμα τρίτου μέρους είναι άγνωστο.
Η αναφορά του ShadowServer για απόπειρες εκμετάλλευσης έρχεται μετά τη δημοσίευση της επιθετικής εταιρείας ασφαλείας watchTowr
τεχνικές λεπτομέρειες
σχετικά με την ευπάθεια, πώς μπορεί να εκμεταλλευτεί και τι πρέπει να αναζητήσουν οι υπερασπιστές στα αρχεία καταγραφής για να ελέγξουν για σημάδια εκμετάλλευσης.
Το watchTowr παρέχει επίσης μια τεχνική ανάλυση του τρόπου με τον οποίο οι εισβολείς μπορούν να χειριστούν τις διαδρομές δημόσιου κλειδιού SSH για να αναγκάσουν τον διακομιστή να πραγματοποιήσει έλεγχο ταυτότητας χρησιμοποιώντας διαδρομές που ελέγχονται από τους εισβολείς, εκθέτοντας πιθανώς τους κατακερματισμούς Net-NTLMv2.
Επιπλέον, ο κώδικας εκμετάλλευσης απόδειξης της ιδέας για το CVE-2024-5806 είναι ήδη δημόσια διαθέσιμος από το watchTowr και τον ερευνητή ευπάθειας
Sina Kheirkhah
.
Με αυτές τις πληροφορίες, οι επιθέσεις σίγουρα θα επιταχυνθούν τις επόμενες ημέρες, επομένως είναι σημαντικό για τους οργανισμούς να εφαρμόσουν τις σχετικές ενημερώσεις ασφαλείας και μετριασμούς το συντομότερο δυνατό.
Ενημερωμένες εκδόσεις κώδικα που κυκλοφόρησαν για το CVE-2024-5806
Όπως εξήγησε η Πρόοδος στο
δελτίο ασφαλείας
CVE-2024-5806 επηρεάζει τις ακόλουθες εκδόσεις προϊόντων:
- 2023.0.0 πριν από 2023.0.11
- 2023.1.0 πριν από 2023.1.6
- 2024.0.0 πριν από το 2024.0.2
Διορθώσεις έγιναν διαθέσιμες στο MOVEit Transfer
11.0.2023
,
2023.1.6
και
2024.0.2
διαθέσιμο στην πύλη Progress Community.
Οι πελάτες χωρίς τρέχουσα συμφωνία συντήρησης θα πρέπει να επικοινωνήσουν αμέσως με την ομάδα του Renewals ή τον αντιπρόσωπο συνεργάτη της Progress για να επιλύσουν το πρόβλημα.
Οι πελάτες του MOVEit Cloud δεν χρειάζεται να κάνουν καμία ενέργεια για να μετριάσουν το κρίσιμο ελάττωμα, καθώς οι ενημερώσεις κώδικα έχουν ήδη αναπτυχθεί αυτόματα.
Εκτός από το ίδιο το ελάττωμα, η Progress σημειώνει ότι ανακάλυψε μια ξεχωριστή ευπάθεια σε ένα στοιχείο τρίτου κατασκευαστή που χρησιμοποιείται στο MOVEit Transfer, το οποίο αυξάνει τους κινδύνους που σχετίζονται με το CVE-2024-5806.
Για να μετριαστεί αυτό το ελάττωμα μέχρι να γίνει διαθέσιμη μια επιδιόρθωση από τον τρίτο προμηθευτή, συνιστάται στους διαχειριστές συστήματος να αποκλείουν την πρόσβαση του Πρωτοκόλλου Απομακρυσμένης
Επιφάνεια
ς εργασίας (RDP) στους διακομιστές MOVEit Transfer και να περιορίζουν τις εξερχόμενες συνδέσεις σε γνωστά/αξιόπιστα τελικά σημεία.
Η Progress κυκλοφόρησε επίσης ένα
ενημερωτικό δελτίο
ασφαλείας σχετικά με ένα παρόμοιο ζήτημα παράκαμψης ελέγχου ταυτότητας,
CVE-2024-5805
το οποίο επηρεάζει το MOVEit Gateway 2024.0.0.
Το MOVEit χρησιμοποιείται ευρέως στο εταιρικό περιβάλλον και οι χάκερ παρακολουθούν τα τρωτά σημεία και τα exploits που είναι διαθέσιμα στο προϊόν, ειδικά από τη στιγμή που το
ransomware
Clop χρησιμοποίησε μια ημέρα μηδέν πέρυσι για να παραβιάσει και στη συνέχεια να εκβιάσει χιλιάδες οργανισμούς.
VIA:
bleepingcomputer.com
0