Hackers προσπαθούν ήδη να εκμεταλλευτούν μια κρίσιμη ευπάθεια στο λογισμικό MOVEit Transfer της Progress. Η ευπάθεια επιτρέπει παράκαμψη ελέγχου ταυτότητας και αποκαλύφθηκε από την εταιρεία προχθές.
Το MOVEit Transfer είναι ένα δημοφιλές λογισμικό που χρησιμοποιείται σε εταιρικά περιβάλλοντα για την ασφαλή μεταφορά αρχείων μεταξύ επιχειρηματικών συνεργατών και πελατών.
Η ευπάθεια, που εντοπίστηκε, παρακολουθείται ως CVE-2024-5806 και επιτρέπει στους εισβολείς να παρακάμψουν τη διαδικασία ελέγχου ταυτότητας στο Secure File Transfer Protocol (SFTP) module, που είναι υπεύθυνο για τις λειτουργίες μεταφοράς αρχείων μέσω SSH.
Δείτε επίσης: Η Apple διορθώνει την ευπάθεια Bluetooth των AirPods
Ένας εισβολέας, που εκμεταλλεύεται αυτή την ευπάθεια, θα μπορούσε να έχει πρόσβαση σε ευαίσθητα δεδομένα που είναι αποθηκευμένα στον διακομιστή MOVEit Transfer, καθώς και να ανεβάσει, να κατεβάσει, να διαγράψει ή να τροποποιήσει αρχεία. Μπορεί, ακόμα, να παρεμποδίσει ή να παραβιάσει τις μεταφορές αρχείων.
Η πλατφόρμα παρακολούθησης απειλών, Shadowserver Foundation, είδε προσπάθειες εκμετάλλευσης της ευπάθειας, λίγο μετά τη δημοσίευση του ενημερωτικού δελτίου της Progress.
Η Censys λέει ότι υπάρχουν περίπου MOVEit Transfer 2.700 instances που εκτίθενται στο Διαδίκτυο (κυρίως σε ΗΠΑ, Ηνωμένο Βασίλειο, Γερμανία, Καναδά και Ολλανδία).
Η αναφορά του ShadowServer για απόπειρες εκμετάλλευσης έρχεται αφού η watchTowr δημοσίευσε τεχνικές λεπτομέρειες σχετικά με την εκμετάλλευση της ευπάθειας. Η watchTowr παρείχε, επίσης, μια τεχνική ανάλυση του τρόπου με τον οποίο οι εισβολείς μπορούν να χειριστούν τα SSH public key paths για να αναγκάσουν τον διακομιστή να πραγματοποιήσει έλεγχο ταυτότητας χρησιμοποιώντας paths που ελέγχονται από τους εισβολείς, εκθέτοντας πιθανώς τα Net-NTLMv2 hashes.
Δείτε επίσης: Botnet εκμεταλλεύεται ευπάθεια σε Zyxel NAS συσκευές
Το PoC exploit και οι πληροφορίες που δόθηκαν στη δημοσιότητα, θα κάνουν τη δουλειά των hackers πολύ πιο εύκολη.
Progress MOVEit Transfer: CVE-2024-5806
Η εταιρεία λέει ότι η ευπάθεια CVE-2024-5806 επηρεάζει τις ακόλουθες εκδόσεις προϊόντων:
- 2023.0.0 πριν από 2023.0.11
- 2023.1.0 πριν από 2023.1.6
- 2024.0.0 πριν από το 2024.0.2
Οι διορθώσεις έγιναν διαθέσιμες στις εκδόσεις MOVEit Transfer 2023.0.11, 2023.1.6 και 2024.0.2.
Οι πελάτες χωρίς τρέχουσα συμφωνία συντήρησης θα πρέπει να επικοινωνήσουν αμέσως με την ομάδα του Renewals ή κάποιον συνεργάτη της Progress για να επιλύσουν το πρόβλημα.
Οι πελάτες του MOVEit Cloud δεν χρειάζεται να κάνουν καμία ενέργεια, καθώς οι ενημερώσεις έχουν ήδη εφαρμοστεί αυτόματα.
Η Progress είπε, ακόμα, ότι ανακάλυψε μια ξεχωριστή ευπάθεια σε ένα third-party component που χρησιμοποιείται στο MOVEit Transfer, το οποίο αυξάνει τους κινδύνους που σχετίζονται με την ευπάθεια CVE-2024-5806.
Για να μετριαστεί ο κίνδυνος που σχετίζεται με αυτό το σφάλμα, συνιστάται στους διαχειριστές συστήματος να αποκλείουν την πρόσβαση Remote Desktop Protocol (RDP) στους διακομιστές MOVEit Transfer και να περιορίζουν τις εξερχόμενες συνδέσεις σε γνωστά/αξιόπιστα τελικά σημεία.
Δείτε επίσης: GrimResource: Νέα επίθεση χρησιμοποιεί αρχεία MSC και ευπάθεια XSS των Windows
Οι παραπάνω ευπάθειες χρησιμεύουν ως υπενθύμιση της συνεχούς απειλής που αποτελούν οι επιτιθέμενοι στον κυβερνοχώρο, ενώ δείχνουν ότι οι οργανισμοί πρέπει να παραμείνουν σε επαγρύπνηση για την προστασία των συστημάτων τους. Παραμένοντας ενημερωμένοι για τα πιο πρόσφατα κενά ασφαλείας και αντιμετωπίζοντάς τα έγκαιρα, μπορούμε να βοηθήσουμε στην αποτροπή πιθανών επιθέσεων και να διατηρήσουμε τα συστήματά μας ασφαλή. Ας συνεχίσουμε λοιπόν να δίνουμε προτεραιότητα στην ασφάλεια στον κυβερνοχώρο και ας λάβουμε προληπτικά μέτρα για να παραμείνουμε ένα βήμα μπροστά από τις απειλές. Την επόμενη φορά που θα ανακαλυφθεί μια κρίσιμη ευπάθεια, μην περιμένετε να την εκμεταλλευτούν οι hackers – αναλάβετε αμέσως δράση για να προστατέψετε τα δεδομένα του οργανισμού σας.
Το Διαδίκτυο εξελίσσεται συνεχώς, καθιστώντας ζωτικής σημασίας για τους οργανισμούς τη συνεχή παρακολούθηση των συστημάτων τους για πιθανούς κινδύνους ασφαλείας. Η τακτική ενημέρωση λογισμικού και η εφαρμογή ισχυρών μέτρων ασφαλείας είναι σημαντικά βήματα για τον μετριασμό τυχόν απειλών.
Πηγή: www.bleepingcomputer.com
