생성 데이터 인텔리전스

사이버 보안

MOVEit 신체 상해 3: "HTTP 및 HTTPS 트래픽을 즉시 비활성화"

Plato에 의해 재발행
Plato에 의해 재발행

시간

조회 수 : 85
by 폴 덕린

더 많은 MOVEit 신체 상해!

"MOVEit 전송에 대한 HTTP 및 HTTPS 트래픽 비활성화" Progress Software에 따르면 그렇게 하기 위한 기간은 "즉시", ifs도, buts도 없습니다.

Progress Software는 파일 공유 소프트웨어 제조업체입니다. MOVEit 전송및 호스팅 MOVEit 클라우드 이를 기반으로 하는 대안이며, 이것은 제품의 해킹 가능한 취약점에 대해 XNUMX주 동안 세 번째 경고입니다.

2023년 XNUMX월 말, Clop 랜섬웨어 갱단과 관련된 사이버 갈취 범죄자들이 제로데이 익스플로잇을 사용하여 MOVEit 제품의 웹 프런트 엔드를 실행하는 서버에 침입한 것으로 밝혀졌습니다.

웹 포털을 통해 고의적으로 조작된 SQL 데이터베이스 명령을 MOVEit Transfer 서버에 전송함으로써 범죄자들은 ​​암호 없이도 데이터베이스 테이블에 액세스할 수 있었고 나중에 패치가 적용된 경우에도 손상된 서버로 돌아갈 수 있도록 하는 멀웨어를 이식할 수 있었습니다. 그동안.

공격자는 직원 급여 세부 정보와 같은 트로피 회사 데이터를 훔치고 훔친 데이터를 "삭제"하는 대가로 협박 지불을 요구한 것으로 보입니다.

We 설명 패치 방법 및 사기꾼이 2023년 XNUMX월 초에 이미 방문했을 경우 찾을 수 있는 사항:

두 번째 경고

그 경고에 이어 지난주에 Progress Software의 업데이트가 나왔습니다.

방금 패치한 제로데이 구멍을 조사하는 동안 Progress 개발자는 코드의 다른 곳에서 유사한 프로그래밍 결함을 발견했습니다.

따라서 회사는 추가 패치, 사기꾼(첫 번째 패치로 제로데이가 쓸모 없게 된)이 다시 들어올 수 있는 다른 방법을 열심히 찾고 있을 것이라고 가정하고 고객에게 이 새로운 업데이트를 사전에 적용할 것을 촉구합니다.

이번 주 Naked Security에서 설명한 것처럼 깃털 벌레는 종종 함께 모여듭니다. 팟 캐스트:

[2023년 06월 09일, Progress put] 그들이 아는 한 사기꾼들이 아직 찾지 못한 유사한 버그를 처리하기 위한 또 다른 패치가 출시되었습니다(그러나 그들이 충분히 열심히 본다면 그들은 그럴 수도 있습니다).

이상하게 들릴지 모르지만, 소프트웨어의 특정 부분에 특정 종류의 버그가 있음을 발견했을 때 더 깊이 파고들면 놀라지 않을 것입니다.

… 당신은 프로그래머(또는 당신이 이미 알고 있는 버그가 도입되었을 때 작업한 프로그래밍 팀)가 비슷한 시기에 비슷한 오류를 범했다는 것을 알게 됩니다.

세 번째 불운

음, 번개가 같은 장소를 세 번째로 빠르게 연속해서 강타한 것 같습니다.

이번에는 마치 누군가 전문 용어로 알려진 "전체 공개"(벤더와 동시에 전 세계에 버그가 공개되어 벤더가 능동적으로 패치를 게시할 여유가 없음)로 알려진 작업을 수행한 것 같습니다. , 또는 "0일 삭제".

진보는 방금 신고:

오늘[2023-06-15] 제XNUMX자가 새로운 [SQL 주입] 취약점을 공개적으로 게시했습니다. 우리는 새로 게시된 취약점을 고려하여 MOVEit Cloud에 대한 HTTPS 트래픽을 중단했으며 모든 MOVEit Transfer 고객에게 패치가 완료되는 동안 환경을 보호하기 위해 HTTP 및 HTTPS 트래픽을 즉시 중단하도록 요청하고 있습니다. 현재 패치를 테스트 중이며 곧 고객에게 업데이트할 예정입니다.

간단히 말해 작동하는 익스플로잇이 유포되지만 아직 패치가 준비되지 않은 짧은 제로데이 기간이 있습니다.

Progress가 이전에 언급했듯이 이 그룹의 소위 명령 주입 버그(나중에 서버 명령으로 호출되는 무해한 데이터여야 하는 것을 보내는 경우)는 HTTP 또는 HTTPS를 사용하여 MOVEit의 웹 기반 포털을 통해서만 트리거될 수 있습니다. 요청합니다.

다행스럽게도 전체 MOVEit 시스템을 종료할 필요 없이 웹 기반 액세스만 종료할 수 있습니다.

무엇을해야 하는가?

Progress Software에서 인용 조언 문서 2023년 06월 15일자:


MOVEit Transfer 환경에 대한 모든 HTTP 및 HTTP 트래픽을 비활성화합니다. 더 구체적으로:

  • 포트 80 및 443에서 MOVEit 전송에 대한 HTTP 및 HTTP 트래픽을 거부하도록 방화벽 규칙을 수정합니다.
  • HTTP 및 HTTPS 트래픽이 다시 활성화될 때까지 다음 사항에 유의해야 합니다.
    • 사용자는 MOVEit Transfer 웹 UI에 로그온할 수 없습니다.
    • 네이티브 MOVEit Transfer 호스트를 사용하는 MOVEit 자동화 작업은 작동하지 않습니다.
    • REST, Java 및 .NET API는 작동하지 않습니다.
    • Outlook용 MOVEit Transfer 추가 기능이 작동하지 않습니다.
  • SFTP 및 FTP/s 프로토콜은 계속 정상적으로 작동합니다.

이 사가의 세 번째 패치를 주시하십시오. 이 시점에서 우리는 Progress가 웹 액세스를 다시 켤 수 있는 권한을 줄 것이라고 가정합니다…

...확실히, 확실히 하기 위해 잠시 동안 더 오랫동안 켜두기로 결정했다면 우리는 공감할 것입니다.

SOPHOS 고객을 위한 위협 사냥 팁

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.