Очередная GoAnywhere?
Хакеры активно используют уязвимость нулевого дня в программе передачи файлов MOVEit Transfer для кражи данных у организаций.
MOVEit Transfer — это решение для управляемой передачи файлов (MFT), разработанное Ipswitch, дочерней компанией американской корпорации Progress Software, которое позволяет предприятиям безопасно передавать файлы между деловыми партнерами и клиентами с помощью загрузки на основе SFTP, SCP и HTTP.
Progress MOVEit Transfer предлагается в виде локального решения, управляемого заказчиком, и облачной платформы SaaS, управляемой разработчиком.
По данным Progress, MOVEit используют тысячи предприятий, в том числе Chase, Disney, GEICO и MLB, а также 1700 компаний-разработчиков программного обеспечения и 3,5 миллиона разработчиков.
Неясно, когда произошла эксплуатация и какие субъекты угроз стоят за атаками, но BleepingComputer сообщили, что многие организации были взломаны, а данные украдены.
Вчера компания Progress выпустила рекомендации по безопасности, предупреждающие клиентов о «критической» уязвимости в MOVEit MFT, предлагая меры по ее устранению на время тестирования исправления.
«Progress обнаружил уязвимость в MOVEit Transfer, которая может привести к эскалации привилегий и потенциальному несанкционированному доступу к среде», — говорится в бюллетене по безопасности от Progress.
«Если вы являетесь клиентом MOVEit Transfer, крайне важно, чтобы вы немедленно предприняли действия, как указано ниже, чтобы помочь защитить вашу среду MOVEit Transfer, пока наша команда выпускает исправление».
Поскольку исправление недоступно во время его тестирования, Progress выпустила меры, которые администраторы MOVEit могут использовать для защиты своих установок.
Во избежание эксплуатации разработчики предупреждают администраторов о блокировке внешнего трафика на порты 80 и 443 на сервере MOVEit.
Progress предупреждает, что блокировка этих портов предотвратит внешний доступ к веб-интерфейсу, помешает работе некоторых задач автоматизации MOVEit, заблокирует API и помешает работе подключаемого модуля Outlook MOVEit.
Однако протоколы SFTP и FTP/s можно по-прежнему использовать для передачи файлов.
Разработчики также предупреждают администраторов, чтобы они проверяли c:\MOVEit Transfer\wwwroot\папку на наличие неожиданных файлов, включая резервные копии или загрузки больших файлов.
Согласно информации, полученной BleepingComputer, большие загрузки или неожиданные резервные копии являются вероятными индикаторами того, что злоумышленники украли данные или находятся в процессе этого.
Информации об уязвимости нулевого дня не поступало. Однако, судя по заблокированным портам и указанному местоположению для проверки наличия необычных файлов, уязвимость, скорее всего, связана с веб-уязвимостью.
До тех пор, пока не будет выпущено исправление, организациям настоятельно рекомендуется отключать любые передачи MOVEit и проводить тщательное расследование на предмет компрометации, прежде чем применять исправление и снова запускать сервер.
На данный момент злоумышленники не начали вымогать деньги у жертв, поэтому неясно, кто стоит за атаками.
Тем не менее, эксплуатация очень похожа на массовую эксплуатацию сервера нулевого дня GoAnywhere MFT в январе 2023 года и эксплуатацию серверов нулевого дня Accellion FTA в декабре 2020 года .
Оба этих продукта представляют собой управляемые платформы для передачи файлов, которые активно использовались бандой вымогателей Clop для кражи данных и вымогательства у организаций.
BleepingComputer связался с Progress, чтобы узнать больше об атаках, но ответ был получен не сразу.
взято: https://www.bleepingcomputer[.]com/...ero-day-mass-exploited-in-data-theft-attacks/
Хакеры активно используют уязвимость нулевого дня в программе передачи файлов MOVEit Transfer для кражи данных у организаций.
MOVEit Transfer — это решение для управляемой передачи файлов (MFT), разработанное Ipswitch, дочерней компанией американской корпорации Progress Software, которое позволяет предприятиям безопасно передавать файлы между деловыми партнерами и клиентами с помощью загрузки на основе SFTP, SCP и HTTP.
Progress MOVEit Transfer предлагается в виде локального решения, управляемого заказчиком, и облачной платформы SaaS, управляемой разработчиком.
По данным Progress, MOVEit используют тысячи предприятий, в том числе Chase, Disney, GEICO и MLB, а также 1700 компаний-разработчиков программного обеспечения и 3,5 миллиона разработчиков.
Массовая эксплуатация нулевого дня для кражи данных
BleepingComputer стало известно, что злоумышленники использовали нулевой день в программном обеспечении MOVEit MFT для массовой загрузки данных из организаций.Неясно, когда произошла эксплуатация и какие субъекты угроз стоят за атаками, но BleepingComputer сообщили, что многие организации были взломаны, а данные украдены.
Вчера компания Progress выпустила рекомендации по безопасности, предупреждающие клиентов о «критической» уязвимости в MOVEit MFT, предлагая меры по ее устранению на время тестирования исправления.
«Progress обнаружил уязвимость в MOVEit Transfer, которая может привести к эскалации привилегий и потенциальному несанкционированному доступу к среде», — говорится в бюллетене по безопасности от Progress.
«Если вы являетесь клиентом MOVEit Transfer, крайне важно, чтобы вы немедленно предприняли действия, как указано ниже, чтобы помочь защитить вашу среду MOVEit Transfer, пока наша команда выпускает исправление».
Поскольку исправление недоступно во время его тестирования, Progress выпустила меры, которые администраторы MOVEit могут использовать для защиты своих установок.
Во избежание эксплуатации разработчики предупреждают администраторов о блокировке внешнего трафика на порты 80 и 443 на сервере MOVEit.
Progress предупреждает, что блокировка этих портов предотвратит внешний доступ к веб-интерфейсу, помешает работе некоторых задач автоматизации MOVEit, заблокирует API и помешает работе подключаемого модуля Outlook MOVEit.
Однако протоколы SFTP и FTP/s можно по-прежнему использовать для передачи файлов.
Разработчики также предупреждают администраторов, чтобы они проверяли c:\MOVEit Transfer\wwwroot\папку на наличие неожиданных файлов, включая резервные копии или загрузки больших файлов.
Согласно информации, полученной BleepingComputer, большие загрузки или неожиданные резервные копии являются вероятными индикаторами того, что злоумышленники украли данные или находятся в процессе этого.
Информации об уязвимости нулевого дня не поступало. Однако, судя по заблокированным портам и указанному местоположению для проверки наличия необычных файлов, уязвимость, скорее всего, связана с веб-уязвимостью.
До тех пор, пока не будет выпущено исправление, организациям настоятельно рекомендуется отключать любые передачи MOVEit и проводить тщательное расследование на предмет компрометации, прежде чем применять исправление и снова запускать сервер.
Вымогательство не началось
Хотя Progress не заявлял, что уязвимость активно эксплуатируется, BleepingComputer известно о многочисленных организациях, у которых были украдены данные с использованием нулевого дня.На данный момент злоумышленники не начали вымогать деньги у жертв, поэтому неясно, кто стоит за атаками.
Тем не менее, эксплуатация очень похожа на массовую эксплуатацию сервера нулевого дня GoAnywhere MFT в январе 2023 года и эксплуатацию серверов нулевого дня Accellion FTA в декабре 2020 года .
Оба этих продукта представляют собой управляемые платформы для передачи файлов, которые активно использовались бандой вымогателей Clop для кражи данных и вымогательства у организаций.
BleepingComputer связался с Progress, чтобы узнать больше об атаках, но ответ был получен не сразу.
взято: https://www.bleepingcomputer[.]com/...ero-day-mass-exploited-in-data-theft-attacks/