После того как сотни компаний стали жертвами атак на 0-day уязвимость в MOVEit Transfer, разработчик этого продукта для управления передачей файлов, компания Progress Software, пообещал регулярно выпускать пакеты обновлений, чтобы обеспечить «предсказуемый, простой и прозрачный процесс исправления ошибок». В первый же такой пакет вошли патчи для трех уязвимостей, включая критическую.
0-day в MOVEit Transfer
Напомню, что все началось с 0-day уязвимости (CVE-2023-34362) в MOVEit Transfer, которую обнаружили в начале июня 2023 года. Проблеме оказались подвержены все версии MOVEit Transfer, и сообщалось, что атаки на них начались еще 27 мая 2023 года.
Злоумышленники использовали эту уязвимость, чтобы разместить на уязвимых серверах кастомные веб-шеллы, что позволило им получить список файлов, хранящихся на сервере, скачать файлы, а также похитить учетные данные и секреты учетных записей Azure Blob Storage, включая параметры AzureBlobStorageAccount, AzureBlobKey и AzureBlobContainer.
В итоге аналитики Microsoft связали массовые атаки с вымогательской хак-группой Clop (она же Lace Tempest, TA505, FIN11 или DEV-0950). И вскоре хакеры начали выдвигать требования, вымогая выкупы у пострадавших компаний.
На данный момент, по данным экспертов компании Emsisoft, количество компаний-жертв превышает 230: пострадали не менее 20 школ в США и десятки университетов по всему миру. Суммарно утечки затронули информацию о 17-20 млн человек.
Пакеты обновлений для продуктов Progress Software будут распространяться на MOVEit, включая MOVEit Transfer и MOVEit Automation. Первый из них уже вышел и содержит исправления для критической SQL-инъекции, а также двух других менее серьезных уязвимостей.
Критическая проблема получила идентификатор CVE-2023-36934 и была обнаружена специалистами Trend Micro Zero Day Initiative. Разработчики сообщают, что она может использоваться без аутентификации, позволяя атакующему получить несанкционированный доступ к БД MOVEit Transfer.
Критическая проблема получила идентификатор CVE-2023-36934 и была обнаружена специалистами Trend Micro Zero Day Initiative. Разработчики сообщают, что она может использоваться без аутентификации, позволяя атакующему получить несанкционированный доступ к БД MOVEit Transfer.
«Злоумышленник может отправить специально подготовленную полезную нагрузку на конечную точку приложения MOVEit Transfer, что может привести к изменению и раскрытию содержимого базы данных MOVEit», — сообщается в официальном бюллетене безопасности.
В настоящее время сообщений об активном использовании этой проблемы хакерами не поступало.
Вторая уязвимость так же представляет собой SQL-инъекцию и отслеживается под идентификатором CVE-2023-36932. Эту проблему злоумышленник может использовать после аутентификации.
Обе SQL-инъекции затрагивают несколько версий MOVEit Transfer, включая 12.1.10 и старше, 13.0.8 и старше, 13.1.6 и старше, 14.0.6 и старше, 14.1.7 и старше, а также 15.0.3 и старше.
Третьей проблемой, которые устранили патчи в этом месяце, стала уязвимость CVE-2023-36933, которая позволяет злоумышленникам спонтанно завершить работу программы.
Этот баг представляет угрозу для MOVEit Transfer версий 13.0.8 и старше, 13.1.6 и старше, 14.0.6 и старше, 14.1.7 и старше, а также 15.0.3 и старше.
Вторая уязвимость так же представляет собой SQL-инъекцию и отслеживается под идентификатором CVE-2023-36932. Эту проблему злоумышленник может использовать после аутентификации.
Обе SQL-инъекции затрагивают несколько версий MOVEit Transfer, включая 12.1.10 и старше, 13.0.8 и старше, 13.1.6 и старше, 14.0.6 и старше, 14.1.7 и старше, а также 15.0.3 и старше.
Третьей проблемой, которые устранили патчи в этом месяце, стала уязвимость CVE-2023-36933, которая позволяет злоумышленникам спонтанно завершить работу программы.
Этот баг представляет угрозу для MOVEit Transfer версий 13.0.8 и старше, 13.1.6 и старше, 14.0.6 и старше, 14.1.7 и старше, а также 15.0.3 и старше.
Источник: Хакер