CVE-2024-5806: новая дыра в MOVEit Transfer открывает сезон охоты на корпоративные данные

Новая критическая уязвимость в MOVEit Transfer от Progress Software позволяет кибератакам обходить механизмы аутентификации платформы. В течение нескольких часов после публикации информация об уязвимости начала активно эксплуатироваться в реальных условиях.

MOVEit Transfer — это приложение для обмена файлами и сотрудничества в крупных предприятиях. В прошлом году оно стало мишенью вымогательской группировки Cl0p, атака которой затронула как минимум 160 компаний.

Новая уязвимость ( CVE-2024-5806, CVSS: 7.4) является проблемой ненадлежащей аутентификации в модуле SFTP MOVEit. По данным Progress, она «может привести к обходу аутентификации в ограниченных сценариях». Уязвимость затрагивает версии MOVEit Transfer с 2023.0.0 по 2023.0.11, с 2023.1.0 по 2023.1.6 и с 2024.0.0 по 2024.0.2

Администраторам рекомендуется немедленно установить исправления. После прошлогодних атак MOVEit находится под пристальным вниманием киберпреступников, и доступ к внутренним файлам компаний из списка Fortune 1000 является весьма привлекательной целью для шпионских угроз.

По данным сервиса Shadowserver, вскоре после публикации информации об уязвимости специалисты начали наблюдать попытки эксплуатации CVE-2024-5806 в MOVEit Transfer через POST «/guestaccess.aspx».

Progress не предоставил подробностей о проблеме, но исследователи из watchTowr определили два сценария атаки. В одном случае злоумышленник может провести «принудительную аутентификацию» с использованием вредоносного SMB-сервера и действительного имени пользователя. В более опасном сценарии злоумышленник может выдать себя за любого пользователя системы.

Исследователи из watchTowr пояснили: «Мы можем загрузить наш SSH-ключ на сервер без входа в систему и затем использовать этот ключ для аутентификации от имени любого пользователя. Таким образом, мы получаем доступ ко всем функциям пользователя, включая чтение, изменение и удаление защищённых данных».

Компания по кибербезопасности далее описала уязвимость как состоящую из двух отдельных уязвимостей, одна в Progress MOVEit, а другая в SSH-библиотеке IPWorks.

«В то время как более разрушительная уязвимость, возможность выдавать себя за произвольных пользователей, уникальна для MOVEit, менее эффективная (но все еще очень реальная) уязвимость принудительной аутентификации, вероятно, повлияет на все приложения, использующие SSH-сервер IPWorks», — сообщили исследователи.

Progress Software заявила, что недостаток в компоненте сторонних производителей «повышает риск возникновения первоначальной проблемы», если его не устранить, и призвала клиентов выполнить следующие два шага:

• Заблокировать общедоступный входящий RDP-доступ к серверам MOVEit Transfer;
• Ограничить исходящий доступ только к известным доверенным конечным точкам с серверов MOVEit Transfer.

По данным компании Rapid7, для использования CVE-2024-5806 есть три предварительных условия: злоумышленникам необходимо знать существующее имя пользователя, целевая учетная запись может проходить удаленную аутентификацию, а служба SFTP является общедоступной через Интернет.

По состоянию на 25 июня, данные, собранные Censys, показывают, что в Сети насчитывается около 2700 экземпляров MOVEit Transfer, большинство из них расположены в США, Великобритании, Германии, Нидерландах, Канаде, Швейцарии, Австралии, Франции, Ирландии и Дании.