0
0
ATUALIZAÇÃO (2 de junho de 2023, 05:55 ET): Confira nossa atualização sobre essa evolução da situação.
Uma vulnerabilidade crítica de dia zero na solução de transferência de arquivos gerenciada corporativa da Progress Software, o MOVEit Transfer, está sendo explorada por invasores para capturar dados corporativos.
“[A vulnerabilidade] pode levar a privilégios crescentes e potencial acesso não autorizado ao ambiente”, alertou a empresa na quarta-feira, e aconselhou os clientes a tomar medidas para proteger seu ambiente MOVEit Transfer, “enquanto nossa equipe produz um patch”.
O alerta também diz para eles verificarem se há indicadores de acesso não autorizado pelo menos nos últimos 30 dias, então é provável que a empresa ainda não tenha identificado quando as primeiras explorações começaram.
O que está acontecendo?
“Várias pessoas me alertaram sobre uma vulnerabilidade no MoveIT, um aplicativo de transferência de arquivos seguro muito usado no Reino Unido. Fiz algumas escavações e parece que é um dia zero sob exploração ativa. Ainda não está 100% no agente de ameaças, mas pode ser um dos grupos de ransomware/extorsão”, diz o pesquisador de segurança Kevin Beaumont.
De acordo com o especialista em segurança cibernética Daniel Card (e Shodan), parece haver mais de 2.500 servidores MOVEit Transfer detectáveis na internet, principalmente nos EUA.
Vulnerabilidade do MOVEit Transfer: O que você pode fazer?
A Progress Software aconselhou os usuários a desativar temporariamente todo o tráfego HTTP e HTTPS para seu ambiente de transferência MOVEit e atualizar para uma das versões fixas:
- Transferência MOVEit 2023.0.1
- Transferência MOVEit 2022.1.5
- Transferência MOVEit 2022.0.4
- Transferência MOVEit 2021.1.4
- Transferência MOVEit 2021.0.6
Eles também aconselharam os clientes a verificar se arquivos inesperados foram criados na pasta c:\MOVEit Transfer\wwwroot\ em todas as instâncias do MOVEit Transfer e se downloads de arquivos inesperados ou grandes foram realizados.
Beaumont, que aparentemente tem informações mais atualizadas sobre os ataques reais, aconselha as organizações que executam instâncias a desconectá-las de sua rede interna, verificar se há arquivos .asp* recém-criados ou alterados e salvar uma cópia de todos os logs do IIS e logs de volume de dados de rede.
“As webshells foram sendo abandonadas”, compartilhou.
Um comentarista no Reddit diz que seu empregador foi afetado no fim de semana do Memorial Day e que uma tonelada de arquivos foram copiados de seus sites MoveIt, e outros estão aconselhando os defensores sobre indicadores específicos de comprometimento a serem procurados.
Embora a Progress Software diga que a empresa descobriu a vulnerabilidade, parece que eles a descobriram apenas depois de detectá-la sendo explorada ativamente, o que a torna uma falha de dia zero.
Se isso for confirmado, será a segunda instância de um dia zero em uma ferramenta de transferência de arquivos gerenciada corporativa sendo explorada por invasores este ano – a primeira foi CVE-2023-0669, uma vulnerabilidade de execução remota de código na solução GoAnywhere da Fortra, aproveitada pela gangue de ransomware Cl0p.
FONTE: HELPNET SECURITY