Злоумышленники активно эксплуатируют уязвимость нулевого дня в программе MOVEit Transfer

Злоумышленники активно эксплуатируют уязвимость нулевого дня в программе MOVEit Transfer

Пахнет повторением сценария с Fortra GoAnywhere и Accellion FTA, неужели и в этот раз всё сложится столь печально?

image

MOVEit Transfer — это программное обеспечение для безопасной передачи файлов между партнерами и клиентами, разработанное Ipswitch, дочерней компанией американской Progress Software Corporation. Среди клиентов ПО такие именитые компании, как Chase, Disney, GEICO и MLB. А всего MOVEit Transfer используют 1,7 тысячи софтверных компаний и 3,5 миллиона разработчиков.

Вчера Progress Software выпустила предупреждение безопасности , в котором сообщила о «критической» уязвимости в MOVEit Transfer, способной привести к повышению привилегий и потенциальному несанкционированному доступу к среде. Сегодня стало известно, что данная уязвимость действительно была использована злоумышленниками для массового скачивания данных из баз организаций. Пока неизвестно, когда началась эксплуатация и кто конкретно стоит за этой атакой.

«Если вы являетесь клиентом MOVEit Transfer, то очень важно, чтобы вы немедленно предприняли действия, указанные ниже, чтобы помочь защитить вашу среду MOVEit Transfer, пока наша команда создаёт патч», — говорится в предупреждении безопасности от Progress Software.

Поскольку патч пока недоступен и находится на стадии тестирования, Progress Software предложила меры по смягчению последствий, которые администраторы MOVEit могут использовать для защиты своих установок. Для предотвращения злонамеренной эксплуатации уязвимости разработчики рекомендуют администраторам блокировать внешний трафик на порты 80 и 443 на сервере MOVEit.

Progress Software предупреждает, что блокировка этих портов приведёт к невозможности внешнего доступа к веб-интерфейсу, нарушению работы некоторых задач MOVEit Automation, блокировке API и отключению плагина Outlook MOVEit. Однако протоколы SFTP и FTP/s могут продолжать использоваться для передачи файлов.

Разработчики также советуют администраторам проверить папку «C:\MOVEit Transfer\wwwroot» на наличие подозрительных файлов, включая резервные копии или большие файлы для выгрузки. Они могут свидетельствовать о том, что злоумышленники украли данные или делают это прямо сейчас.

Никакой более подробной информации об уязвимости пока опубликовано не было. Однако на основании блокируемых портов и указанного места для проверки наличия подозрительных файлов можно предположить, что это уязвимость веб-интерфейса.

До выпуска патча организациям настоятельно рекомендуется последовать советам Progress Software или вовсе временно отключить среду MOVEit Transfer. Уже сейчас стоит обязательно провести тщательное расследование, не были ли похищены корпоративные данные, а после выхода официального патча — применить его и заново запустить сервер.

Хотя Progress Software пока официально не заявляла о том, что уязвимость активно эксплуатируется, представители многих организаций уже высказались о том, что их данные были украдены. Судя по всему, злоумышленники пока не начали шантажировать своих жертв, и, вероятно, ещё не выдвигали требования выкупа. Однако это лишь вопрос времени. Скоро мы наверняка узнаем, кто стоит за этими атаками.

Эксплуатация уязвимости нулевого дня MOVEit Transfer очень похожа на массовую эксплуатацию уязвимости нулевого дня в программе Fortra GoAnywhere MFT в январе 2023 года и Accellion FTA в декабре 2020 года. Оба продукта являются платформами для передачи файлов (MFT), которые стали жертвами банды вымогателей Clop, укравшей данные сотен организаций. Будет даже неудивительно, если за этой атакой также стоят хакеры Clop, учитывая их нездоровую симпатию к MFT-сервисам.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь