Обнаружена серьезная уязвимость в популярном ПО, которая подвергает опасности большие сегменты интернета. Злоумышленники уже пытаются воспользоваться ею для проведения атак, предупреждают эксперты.
ПО, известное как MOVEit и распространяемое компанией Progress Software, позволяет организациям передавать и управлять файлами с использованием различных протоколов, включая SFTP, SCP и HTTP, а также способов, соответствующих правилам PCI и HIPAA. По состоянию на момент публикации данного сообщения, сканирование интернета показало, что оно установлено примерно в 1800 сетях по всему миру, причем большинство из них находятся в США. Отдельное сканирование, проведенное во вторник компанией Censys, выявило 2700 таких случаев.
Уязвимость MOVEit, обнаруженная в прошлом году, привела к компрометации более 2300 организаций, включая Shell, British Airways, Министерство энергетики США и реестр рождения Онтарио, BORN Ontario, что привело к утечке данных о 3,4 миллиона человек.
Progress Software раскрыла CVE-2024-5806, уязвимость, которая позволяет злоумышленникам обойти аутентификацию и получить доступ к конфиденциальным данным. Уязвимость, обнаруженная в модуле SFTP MOVEit, имеет рейтинг серьезности 9,1 из 10. Спустя несколько часов после того, как уязвимость стала общеизвестной, хакеры уже пытались использовать ее, заявили специалисты из организации Shadowserver.
Технический анализ, проведенный экспертами из компании по безопасности watchTowr Labs, показал, что уязвимость, обнаруженная в модуле SFTP MOVEit, может быть использована как минимум в двух сценариях атаки. Один из них позволяет хакерам использовать строку нулевого значения в качестве открытого ключа шифрования при процессе аутентификации. Таким образом, злоумышленник может войти в систему как существующий доверенный пользователь.
Другой сценарий атаки, описанный специалистами watchTowr, позволяет злоумышленникам получить криптографические хэши, скрывающие пароли пользователей. Это достигается путем манипулирования путями публичных ключей SSH для выполнения "принудительной аутентификации" с использованием злонамеренного сервера SMB и действительного имени пользователя. Этот метод раскрывает криптографический хэш, скрывающий пароль пользователя. Затем хэш необходимо взломать.
Эксперты утверждают, что требование загрузки открытого ключа на уязвимый сервер не является особенно сложной задачей для злоумышленников, поскольку вся цель MOVEit заключается в передаче файлов. Кроме того, не особенно сложно узнать или угадать имена учетных записей системы. Пост watchTowr также отметил, что их эксплойты используют IPWorks SSH, коммерческий продукт, который Progress Software интегрирует в MOVEit.
Сообщение Progress Software гласит: "Недавно обнаруженная уязвимость в стороннем компоненте, используемом в MOVEit Transfer, увеличивает риск исходной проблемы, если она останется незакрытой. Хотя патч, выпущенный Progress 11 июня, успешно устранил проблему, указанную в CVE-2024-5806, вновь раскрытая сторонняя уязвимость представляет новые риски".
Компания рекомендует своим клиентам убедиться, что доступ по RDP к серверам MOVEit заблокирован, и ограничить исходящий доступ к известным доверенным конечным точкам с серверов MOVEit. Представитель компании отказался уточнить, был ли этот компонент IPWorks SSH.
Уязвимость затрагивает следующие версии MOVEit Transfer:
- 2023.0.0 до 2023.0.11;
- 2023.1.0 до 2023.1.6;
- 2024.0.0 до 2024.0.
ПО, известное как MOVEit и распространяемое компанией Progress Software, позволяет организациям передавать и управлять файлами с использованием различных протоколов, включая SFTP, SCP и HTTP, а также способов, соответствующих правилам PCI и HIPAA. По состоянию на момент публикации данного сообщения, сканирование интернета показало, что оно установлено примерно в 1800 сетях по всему миру, причем большинство из них находятся в США. Отдельное сканирование, проведенное во вторник компанией Censys, выявило 2700 таких случаев.
Уязвимость MOVEit, обнаруженная в прошлом году, привела к компрометации более 2300 организаций, включая Shell, British Airways, Министерство энергетики США и реестр рождения Онтарио, BORN Ontario, что привело к утечке данных о 3,4 миллиона человек.
Progress Software раскрыла CVE-2024-5806, уязвимость, которая позволяет злоумышленникам обойти аутентификацию и получить доступ к конфиденциальным данным. Уязвимость, обнаруженная в модуле SFTP MOVEit, имеет рейтинг серьезности 9,1 из 10. Спустя несколько часов после того, как уязвимость стала общеизвестной, хакеры уже пытались использовать ее, заявили специалисты из организации Shadowserver.
Технический анализ, проведенный экспертами из компании по безопасности watchTowr Labs, показал, что уязвимость, обнаруженная в модуле SFTP MOVEit, может быть использована как минимум в двух сценариях атаки. Один из них позволяет хакерам использовать строку нулевого значения в качестве открытого ключа шифрования при процессе аутентификации. Таким образом, злоумышленник может войти в систему как существующий доверенный пользователь.
Другой сценарий атаки, описанный специалистами watchTowr, позволяет злоумышленникам получить криптографические хэши, скрывающие пароли пользователей. Это достигается путем манипулирования путями публичных ключей SSH для выполнения "принудительной аутентификации" с использованием злонамеренного сервера SMB и действительного имени пользователя. Этот метод раскрывает криптографический хэш, скрывающий пароль пользователя. Затем хэш необходимо взломать.
Эксперты утверждают, что требование загрузки открытого ключа на уязвимый сервер не является особенно сложной задачей для злоумышленников, поскольку вся цель MOVEit заключается в передаче файлов. Кроме того, не особенно сложно узнать или угадать имена учетных записей системы. Пост watchTowr также отметил, что их эксплойты используют IPWorks SSH, коммерческий продукт, который Progress Software интегрирует в MOVEit.
Сообщение Progress Software гласит: "Недавно обнаруженная уязвимость в стороннем компоненте, используемом в MOVEit Transfer, увеличивает риск исходной проблемы, если она останется незакрытой. Хотя патч, выпущенный Progress 11 июня, успешно устранил проблему, указанную в CVE-2024-5806, вновь раскрытая сторонняя уязвимость представляет новые риски".
Компания рекомендует своим клиентам убедиться, что доступ по RDP к серверам MOVEit заблокирован, и ограничить исходящий доступ к известным доверенным конечным точкам с серверов MOVEit. Представитель компании отказался уточнить, был ли этот компонент IPWorks SSH.
Уязвимость затрагивает следующие версии MOVEit Transfer:
- 2023.0.0 до 2023.0.11;
- 2023.1.0 до 2023.1.6;
- 2024.0.0 до 2024.0.
Исправления для 2023.0.11, 2023.1.6 и 2024.0.2 доступны здесь, здесь и здесь соответственно. Пользователи MOVEit могут проверить версию, которую они используют, по этой ссылке.
Учитывая ущерб, причиненный массовой эксплуатацией прошлогодней уязвимости MOVEit, вполне вероятно, что последняя уязвимость может пойти по аналогичному пути. Затронутым администраторам следует уделить первоочередное внимание расследованию уязвимости как можно скорее и отреагировать соответствующим образом. Дополнительный анализ и рекомендации доступны здесь и здесь.
Учитывая ущерб, причиненный массовой эксплуатацией прошлогодней уязвимости MOVEit, вполне вероятно, что последняя уязвимость может пойти по аналогичному пути. Затронутым администраторам следует уделить первоочередное внимание расследованию уязвимости как можно скорее и отреагировать соответствующим образом. Дополнительный анализ и рекомендации доступны здесь и здесь.