Οι χάκερ εκμεταλλεύονται ενεργά μια ευπάθεια zero-day στο λογισμικό μεταφοράς αρχείων MOVEit Transfer για να κλέψουν δεδομένα από οργανισμούς.
Το MOVEit Transfer είναι μια λύση διαχειριζόμενης μεταφοράς αρχείων (MFT) που αναπτύχθηκε από την Ipswitch, θυγατρική της Progress Software Corporation με έδρα τις ΗΠΑ, η οποία επιτρέπει στην επιχείρηση να μεταφέρει με ασφάλεια αρχεία μεταξύ επιχειρηματικών συνεργατών και πελατών χρησιμοποιώντας μεταφορτώσεις που βασίζονται σε SFTP, SCP και HTTP.
Το Progress MOVEit Transfer προσφέρεται ως λύση on-premise που διαχειρίζεται ο πελάτης και ως πλατφόρμα cloud SaaS που διαχειρίζεται ο προγραμματιστής.
Σύμφωνα με την Progress, το MOVEit χρησιμοποιείται από χιλιάδες επιχειρήσεις, συμπεριλαμβανομένων των Chase, Disney, GEICO και MLB, καθώς και από 1.700 εταιρείες λογισμικού και 3,5 εκατομμύρια προγραμματιστές.
Μαζική εκμετάλλευση Zero-day για την κλοπή δεδομένων
Η BleepingComputer έμαθε ότι οι παράγοντες απειλών εκμεταλλεύονται μια ημέρα μηδέν στο λογισμικό MOVEit MFT για να πραγματοποιήσουν μαζική λήψη δεδομένων από οργανισμούς.
Δεν είναι σαφές πότε έγινε η εκμετάλλευση και ποιοι παράγοντες απειλής βρίσκονται πίσω από τις επιθέσεις, αλλά η BleepingComputer έχει ενημερωθεί ότι πολλοί οργανισμοί έχουν παραβιαστεί και έχουν κλαπεί δεδομένα.
Χθες, η Progress κυκλοφόρησε μια συμβουλευτική ασφαλείας που προειδοποιεί τους πελάτες για μια “Κρίσιμη” ευπάθεια στο MOVEit MFT, προσφέροντας μετριασμούς ενώ δοκιμάζεται μια ενημέρωση κώδικα.
«Η Progress ανακάλυψε μια ευπάθεια στο MOVEit Transfer που θα μπορούσε να οδηγήσει σε κλιμακούμενα προνόμια και πιθανή μη εξουσιοδοτημένη πρόσβαση στο περιβάλλον», αναφέρει μια συμβουλευτική για την ασφάλεια από την Πρόοδο.
“Εάν είστε πελάτης του MOVEit Transfer, είναι εξαιρετικά σημαντικό να λάβετε άμεσα μέτρα όπως σημειώνεται παρακάτω, προκειμένου να βοηθήσετε στην προστασία του περιβάλλοντος MOVEit Transfer, ενώ η ομάδα μας παράγει μια ενημέρωση κώδικα.”
Καθώς μια ενημερωμένη έκδοση κώδικα δεν είναι διαθέσιμη κατά τη διάρκεια της δοκιμής της, η Progress κυκλοφόρησε μετριασμούς που μπορούν να χρησιμοποιήσουν οι διαχειριστές του MOVEit για να ασφαλίσουν τις εγκαταστάσεις τους.
Για να αποφευχθεί η εκμετάλλευση, οι προγραμματιστές προειδοποιούν τους διαχειριστές να αποκλείσουν την εξωτερική κίνηση στις θύρες 80 και 443 στον διακομιστή MOVEit.
Το Progress προειδοποιεί ότι ο αποκλεισμός αυτών των θυρών θα αποτρέψει την εξωτερική πρόσβαση στη διεπαφή ιστού, θα αποτρέψει τη λειτουργία ορισμένων εργασιών του MOVEit Automation, θα αποκλείσει τα API και θα αποτρέψει τη λειτουργία της προσθήκης Outlook MOVEit.
Ωστόσο, τα πρωτόκολλα SFTP και FTP/s μπορούν να συνεχίσουν να χρησιμοποιούνται για τη μεταφορά αρχείων.
Οι προγραμματιστές προειδοποιούν επίσης τους διαχειριστές να ελέγξουν το ‘c:\MOVEit Transfer\wwwroot\‘ φάκελο για μη αναμενόμενα αρχεία, συμπεριλαμβανομένων των αντιγράφων ασφαλείας ή των μεγάλων λήψεων αρχείων.
Με βάση τις πληροφορίες που μαθαίνει η BleepingComputer, μεγάλες λήψεις ή απροσδόκητα αντίγραφα ασφαλείας είναι πιθανές ενδείξεις ότι οι φορείς της απειλής έχουν κλέψει δεδομένα ή βρίσκονται στη διαδικασία να το κάνουν.
Δεν έχουν δοθεί πληροφορίες σχετικά με την ευπάθεια zero-day. Ωστόσο, με βάση τις μπλοκαρισμένες θύρες και την καθορισμένη τοποθεσία για έλεγχο για ασυνήθιστα αρχεία, το ελάττωμα είναι πιθανότατα μια ευπάθεια που αντιμετωπίζει ο ιστός.
Έως ότου κυκλοφορήσει μια ενημερωμένη έκδοση κώδικα, συνιστάται ανεπιφύλακτα στους οργανισμούς να τερματίζουν τυχόν Μεταφορές MOVEit και να πραγματοποιούν μια ενδελεχή έρευνα για συμβιβασμό προτού εφαρμόσουν την ενημερωμένη έκδοση κώδικα και φέρουν ξανά τον διακομιστή σε λειτουργία.
Ο εκβιασμός δεν έχει ξεκινήσει
Αν και η Progress δεν έχει δηλώσει ότι η ευπάθεια εκμεταλλεύεται ενεργά, η BleepingComputer γνωρίζει πολυάριθμους οργανισμούς στους οποίους έχουν κλαπεί δεδομένα χρησιμοποιώντας το zero-day.
Αυτή τη στιγμή, οι παράγοντες της απειλής δεν έχουν αρχίσει να εκβιάζουν θύματα, επομένως δεν είναι σαφές ποιος βρίσκεται πίσω από τις επιθέσεις.
Ωστόσο, η εκμετάλλευση είναι πολύ παρόμοια με τη μαζική εκμετάλλευση του Ιανουαρίου 2023 ενός GoAnywhere MFT zero-day και τη μηδενική εκμετάλλευση του Δεκεμβρίου 2020 των διακομιστών Accellion FTA.
Και τα δύο αυτά προϊόντα είναι διαχειριζόμενες πλατφόρμες μεταφοράς αρχείων που αξιοποιήθηκαν σε μεγάλο βαθμό από τη συμμορία ransomware Clop για την κλοπή δεδομένων και τον εκβιασμό οργανισμών.
Η BleepingComputer επικοινώνησε με την Progress για να μάθει περισσότερα σχετικά με τις επιθέσεις, αλλά δεν υπήρξε άμεση απάντηση.
