Khách hàng của MOVEit Transfer đã cảnh báo về lỗ hổng mới khi thông tin PoC xuất hiện

21 tháng 6, 2023

Progress đã cảnh báo khách hàng của MOVEit Transfer hạn chế tất cả quyền truy cập HTTP vào môi trường của họ sau khi thông tin về lỗ hổng SQL injection (SQLi) mới (được theo dõi là CVE-2023-35708) được chia sẻ trực tuyến ngày 15 tháng 6.

Công ty đã phát hành các bản vá bảo mật để giải quyết lỗ hổng nghiêm trọng mới này cho tất cả các phiên bản phần mềm bị ảnh hưởng.


Progress cho biết: “Progress đã phát hiện ra một lỗ hổng trong MOVEit Transfer có thể dẫn đến các đặc quyền nâng cao và khả năng truy cập trái phép vào môi trường.


"Tất cả khách hàng của MOVEit Transfer phải thực hiện các giải pháp và áp dụng bản vá để giải quyết lỗ hổng CVE-2023-35708 ngày 15 tháng 6 được phát hiện trong MOVEit Transfer."


"Chúng tôi đã giảm lưu lượng HTTP cho MOVEit Cloud do lỗ hổng mới được công bố và đang yêu cầu tất cả khách hàng của MOVEit Transfer ngay lập tức gỡ bỏ lưu lượng HTTP và HTTP của họ để bảo vệ môi trường của họ trong khi bản vá được hoàn thiện", công ty cho biết thêm.


Cho đến khi các máy chủ dễ bị tấn công được vá, Progress "mạnh dạn" khuyên bạn nên sửa đổi các quy tắc tường lửa để từ chối lưu lượng HTTP và HTTP sang MOVEit Transfer trên các cổng 80 và 443 như một giải pháp thay thế tạm thời.


Mặc dù người dùng sẽ không còn có thể đăng nhập vào tài khoản của họ thông qua giao diện người dùng web, nhưng việc truyền tệp sẽ vẫn khả dụng do các giao thức SFTP và FTP/s sẽ tiếp tục hoạt động như mong đợi.


Quản trị viên cũng có thể truy cập MOVEit Transfer bằng cách kết nối với máy chủ Windows thông qua máy tính để bàn từ xa, sau đó truy cập https://localhost/.


Mặc dù Progress không chia sẻ vị trí nơi chia sẻ chi tiết về lỗ hổng SQLi mới này, nhưng ít nhất một nhà nghiên cứu bảo mật đã chia sẻ thông tin trên Twitter về bằng chứng  khái niệm mã khai thác cho lỗi zero-day MOVEit Transfer mới.


Nhà nghiên cứu nói với BleepingComputer rằng họ tin rằng cảnh báo mới này từ Progress có liên quan đến PoC mà họ đang nghiên cứu.


"Tôi chưa thể đạt được RCE. Lỗ hổng này không thể vượt qua như bất kỳ lỗ hổng nào trước đó. Nó có hướng tấn công riêng", nhà nghiên cứu cho biết thêm.


BleepingComputer cũng được thông báo rằng lỗ hổng bảo mật đã được tiết lộ cho Progress với sự giúp đỡ của John Hammond, Nhà nghiên cứu bảo mật cấp cao của Huntress—việc tiết lộ có thể làm cho công ty đưa ra cảnh báo.



Cảnh báo ngày 15 tháng 6 sau một lời khuyên khác được công bố ngày 9 tháng 6 tiết lộ các lỗ hổng SQL injection nghiêm trọng được theo dõi chung là CVE-2023-35036 và được phát hiện sau một cuộc kiểm toán bảo mật bắt đầu vào ngày 31 tháng 5, khi Progress phát hành các bản vá cho một lỗ hổng (CVE-2023-34362) bị khai thác dưới dạng một zero-day của băng nhóm ransomware Clop trong các cuộc tấn công đánh cắp dữ liệu.


CVE-2023-35036 ảnh hưởng đến tất cả các phiên bản MOVEit Transfer và cho phép những kẻ tấn công chưa được xác thực xâm phạm các máy chủ chưa được vá và tiếp xúc với Internet để đánh cắp thông tin của khách hàng.


Nhóm ransomware Clop đã nhận trách nhiệm về các cuộc tấn công CVE-2023-34362 và nói với BleepingComputer rằng chúng bị cáo buộc đã xâm phạm máy chủ MOVEit của "hàng trăm công ty".


Kroll cũng tìm thấy bằng chứng cho thấy Clop đã thử nghiệm các khai thác cho MOVEit zero-day hiện đã được vá kể từ năm 2021 và các cách để lọc dữ liệu bị đánh cắp từ các máy chủ MOVEit bị xâm phạm kể từ ít nhất là tháng 4 năm 2022.


Clop đã liên kết với các chiến dịch có tác động rộng nhắm mục tiêu đến các nền tảng truyền tệp được quản lý, bao gồm cả vụ vi phạm máy chủ Accellion FTA vào tháng 12 năm 2020, các cuộc tấn công Truyền tệp được quản lý của SolarWinds Serv-U vào năm 2021 và khai thác rộng rãi các máy chủ GoAnywhere MFT vào tháng 1 năm 2023.


Các tổ chức bị ảnh hưởng đã bị tống tiền


Ngày 14 tháng 6, băng đảng Clop bắt đầu tống tiền các tổ chức bị ảnh hưởng bởi các cuộc tấn công đánh cắp dữ liệu MOVEit bằng cách liệt kê tên của họ trên trang web rò rỉ dữ liệu dark web của chúng.


Năm trong số các công ty được liệt kê—công ty dầu khí đa quốc gia Shell của Anh, Đại học Georgia (UGA) và Hệ thống Đại học Georgia (USG), UnitedHealthcare Student Resources (UHSR), Heidelberger Druck và Landal Greenparks—đã xác nhận với BleepingComputer rằng họ đã bị ảnh hưởng trong các cuộc tấn công.


Các tổ chức khác đã tiết lộ các vi phạm MOVEit Transfer bao gồm Zellis (và các khách hàng của họ là BBC, Boots, Aer Lingus và Ireland's HSE), Ofcam, chính phủ Nova Scotia, bang Missouri của Hoa Kỳ, bang Illinois của Hoa Kỳ, Đại học Rochester, Hội đồng Nội khoa Hoa Kỳ, BORN Ontario và Extreme Networks.


Ngày 15 tháng 6, Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) cũng tiết lộ rằng một số cơ quan liên bang của Hoa Kỳ đã bị xâm phạm, theo một báo cáo của CNN. Hai cơ quan của Bộ Năng lượng Hoa Kỳ (DOE) cũng bị xâm phạm, theo Federal News Network.


Cập nhật ngày 16 tháng 6, 09:54 EDT: Progress đã phát hành các bản vá cho lỗ hổng mới được phát hiện có tên là CVE-2023-35708.




Nguồn: bleepingcomputer.com


Bạn cũng có thể quan tâm

TP-Link sửa lỗi RCE nghiêm trọng trong bộ định tuyến chơi game C5400X phổ biến

4 tháng 6, 2024
Bộ định tuyến chơi game TP-Link Archer C5400X dễ mắc phải các lỗi bảo mật có thể cho phép kẻ tấn công từ xa, không được xác thực thực thi các lệnh trên thiết bị.

Tin tặc nhắm mục tiêu VPN Check Point để xâm nhập mạng doanh nghiệp

3 tháng 6, 2024
Ngày 27 tháng 5 Check Point đã cảnh báo rằng các tác nhân đe dọa đang nhắm mục tiêu vào các thiết bị VPN truy cập từ xa của Check Point trong một chiến dịch đang diễn ra nhằm xâm phạm mạng doanh nghiệp.

Sav-Rx tiết lộ vụ tấn công dữ liệu ảnh hưởng đến 2,8 triệu người Mỹ

31 tháng 5, 2024
Công ty quản lý đơn thuốc Sav-Rx cảnh báo hơn 2,8 triệu cá nhân ở Hoa Kỳ việc họ đã bị vi phạm dữ liệu và dữ liệu cá nhân của họ đã bị đánh cắp trong một cuộc tấn công mạng năm 2023.
Thêm bài viết
Share by: