.
A Progress Software divulgou na sexta-feira uma correção para um terceiro bug crítico em seu pacote de transferência de arquivos MOVEit, uma vulnerabilidade que havia sido divulgada no dia anterior.
Detalhes da vulnerabilidade mais recente, rastreada como CVE-2023-35708, foram divulgados na quinta-feira; exploração de prova de conceito (PoC) para a falha, agora corrigida hoje, também surgiu na quinta-feira.
Um pesquisador que atende pelo apelido MCKSys Argentina confirmou ao Strong The One que um patch MOVEit de 16 de junho para CVE-2023-35708 mitigou o exploração PoC código, que foi compartilhado em forma de captura de tela.
Vale a pena repetir que as informações sobre como abusar da falha de injeção de SQL foram tornadas públicas um dia antes de o fornecedor do software corrigir o problema, portanto, é possível que criminosos tenham usado essas informações para atacar as instalações do MOVEit antes que uma atualização pudesse ser desenvolvida e aplicada.
“OK, não conte a ninguém, mas este ataque funciona na versão atual do Progress MOVEit Transfer: 2023.0.2 (15.0.2.49)”, como MCKSys Argentina tuitou na quinta-feira, incluindo uma captura de tela de um exploit para o bug. “Então, acho que perdi um dia 0 aqui. Lembre-se sempre de verificar a versão atual!”
Três golpes?
O progresso divulgou o primeira falha do MOVEit em 31 de maio e emitiu um patch no dia seguinte para CVE-2023-34362. A segundo erroCVE-2023-35036, veio à tona na última sexta-feira, 9 de junho, e também foi corrigido no dia seguinte.
Isso nos leva a este terceiro buraco, CVE-2023-35708, que é outra vulnerabilidade de injeção de SQL que pode permitir que um invasor não autenticado invada o banco de dados MOVEit Transfer das organizações e roube seu conteúdo. Afeta as versões lançadas antes de 2021.0.8 (13.0.8), 2021.1.6 (13.1.6), 2022.0.6 (14.0.6), 2022.1.7 (14.1.7), 2023.0.3 (15.0.3).
Todos os clientes do MOVEit Transfer precisam aplicar o patch para CVE-2023-35708, de acordo com o Progress. E dependendo se os clientes aplicaram as correções anteriores para as vulnerabilidades de 31 de maio e 9 de junho, existem diferentes correções.
Aqueles que não aplicaram o patch de maio primeiro precisam seguir o Progress’ instruções anterioresque incluem patches para os bugs de 31 de maio e 9 de junho.
Depois de aplicar as correções anteriores, os clientes devem corrigir o CVE de 15 de junho. Aqueles que não puderem aplicar a atualização mais recente devem “desabilitar imediatamente todo o tráfego HTTP e HTTPs para seu ambiente MOVEit Transfer”.
Dados do shell vazaram
Enquanto isso, a lista de órgãos e empresas atingidas pelo Clop – que tem explorado as falhas de segurança do MOVEit para roubar dados de organizações – continua a crescer. Na sexta-feira, a gigante de petróleo e gás Concha supostamente se tornou a primeira organização a ter seus dados roubados publicados no site de vazamento do Clop, de acordo com o guru da segurança da informação Dominic Alvieri. O Clop exige um pagamento de resgate das vítimas ou ameaça vazar quaisquer dados roubados delas.
O Clop MOVEit Reveal Event continuará após esta nova declaração. A Shell tem a honra de ser a primeira empresa a ter todos os seus arquivos exfiltrados publicados.@Concha pic.twitter.com/Bi4HkdFKLn
— Dominic Alvieri (@AlvieriD) 16 de junho de 2023
O Departamento de Transporte de Oregon, nos EUA, disse que os extorsionários acessaram informações pessoais pertencentes a cerca de 3,5 milhões de residentes do estado.
“Embora muitas dessas informações estejam amplamente disponíveis, algumas delas são informações pessoais confidenciais”, disse o departamento. perceber afirmou. “Indivíduos que possuem uma carteira de identidade ou carteira de motorista do Oregon devem presumir que as informações relacionadas a essa identidade fazem parte dessa violação”.
Da mesma forma, o Escritório de Veículos Automotores da Louisiana alertou que todos os residentes com carteira de identidade, carteira de motorista ou registro de carro emitidos pelo estado provavelmente tinham nome, endereço, número do seguro social, data de nascimento, altura, cor dos olhos, número da carteira, registro do veículo e deficiência informações do cartaz expostas.
“Não há nenhuma indicação neste momento de que os ciberataques que violaram o MOVEit tenham vendido, usado, compartilhado ou divulgado os dados OMV obtidos do ataque MOVEit”, disse a agência da Louisiana. disse. “Os atacantes cibernéticos não contataram o governo do estado. Mas todos os habitantes da Louisiana devem tomar medidas imediatas para proteger sua identidade.”
A Clop disse que excluirá – e não publicará – quaisquer dados governamentais roubados, que presumivelmente incluem governos locais e o informação roubada do Departamento de Energia dos Estados Unidos e de outras agências federais.
Na quinta-feira, Jen Easterly, que lidera a Agência de Segurança Cibernética e Infraestrutura dos EUA, confirmou que os federais “não estão cientes de que os agentes do Clop ameaçam extorquir ou liberar quaisquer dados roubados de agências governamentais”.
Ainda assim, não sugerimos colocar muita fé nas promessas dos criminosos. ®
.
