.
Pesquisadores de segurança e o governo dos EUA soaram o alarme sobre uma falha no MOVEit Transfer da Progress Software que os criminosos vêm “explorando em massa” há pelo menos um mês para invadir ambientes de TI e roubar dados.
A Progress divulgou algumas informações sobre a vulnerabilidade de injeção de SQL em seu produto de transferência de arquivos com várias ferramentas na quarta-feira e alertou que a exploração “poderia levar a privilégios escalonados e potencial acesso não autorizado ao ambiente”.
O fabricante do software acaba de lançar patches para a falha de segurança. Agora há MOVEit Transfer 2023.0.1, 2022.1.5, 2022.0.4, 2021.1.4 e 2021.0.6 disponíveis para corrigir o código inseguro.
Anteriormente, o negócio instado os clientes a tomar “ação imediata” (em outras palavras: mova-o!) para proteger seus ambientes, incluindo desabilitar todo o tráfego HTTP e HTTPS para implantações do MOVEit Transfer.
A vulnerabilidade ainda não recebeu um CVE.
Para quem não sabe, o Programas fornece uma maneira para as pessoas compartilharem arquivos supostamente seguros entre si. Normalmente, você implantaria um componente de servidor ao qual aplicativos cliente e navegadores da web podem se conectar e usar para carregar e baixar documentos. Como tal, é usado em todo o mundo da saúde, governo e finanças para que os colegas de trabalho possam transferir arquivos entre si.
Na quinta-feira, a Agência de Segurança Cibernética e Infraestrutura (CISA) do Tio Sam e as empresas de segurança privada começaram pesando na falha de sub-ataque.
Embora a Progress tenha aconselhado os clientes do MOVEit a verificar indicadores de acesso não autorizado “pelo menos nos últimos 30 dias”, outros caçadores de ameaças notaram atividades suspeitas voltando ainda mais.
A GreyNoise disse que observou internautas, possivelmente com motivos nefastos, escaneando a Internet pública em busca de implantações do MOVEit Transfer para explorar já em 3 de março.
“Embora não tenhamos observado atividade diretamente relacionada à exploração, todos os 5 IPs que observamos tentando descobrir a localização das instalações do MOVEit foram marcados como ‘Maliciosos’ pela GreyNoise para atividades anteriores”, disse o IP Scanning Biz. disse.
GreyNoise notou que o artefato primário é a presença de um webshell chamado human2[dot]aspx, que permite que invasores executem comandos arbitrários no equipamento comprometido e recomenda que os clientes do MOVEit estendam a janela de tempo para verificar atividades potencialmente maliciosas para pelo menos 90 dias.
Rapid7 também relatado que todas as explorações bem-sucedidas que sua equipe de inteligência de ameaças detectou envolviam esse mesmo arquivo, human2[dot]aspx, na pasta wwwroot do diretório de instalação do MOVEit.
A análise do webshell revelou o seguinte, de acordo com a empresa de segurança:
Na quarta-feira, o Rapid7 detectou cerca de 2.500 instâncias do MOVEit Transfer expostas à Internet pública, a maioria das quais pertencentes a clientes dos EUA.
“Recomendamos fortemente que os clientes do MOVEit Transfer priorizem a mitigação em caráter de emergência”, disse a equipe de segurança.
A Progress Software reivindica sua base de clientes abrange “milhares de empresas, incluindo 1.700 empresas de software e 3,5 milhões de desenvolvedores”. Não respondeu imediatamente a Strong The Onesobre quantos clientes provavelmente foram afetados pela falha e quantos foram comprometidos.
Qualquer organização que usa o MOVEit deve examinar forense o sistema
A Mandiant do Google Cloud também está investigando “várias” invasões relacionadas ao dia zero do MOVEit, de acordo com o CTO da Mandiant Consulting, Charles Carmakal.
“Exploração em massa e amplo roubo de dados ocorreram nos últimos dias”, disse ele Strong The One. “Além de corrigir seus sistemas, qualquer organização que usa o MOVEit deve examinar forense o sistema para determinar se ele já foi comprometido e se os dados foram roubados”.
E embora sua empresa não conheça a motivação do invasor, “as organizações devem se preparar para uma possível extorsão e publicação dos dados roubados”, acrescentou Carmakal. “A exploração em massa de vulnerabilidades de dia zero com outras soluções gerenciadas de transferência de arquivos resultou em roubo de dados, extorsão, publicação de dados roubados e vergonha da vítima.”
Portanto, isso deve proporcionar uma semana e um mês agradáveis. ®
.
