
Grėsmių dalyviai jau bando išnaudoti kritinį autentifikavimo apėjimo trūkumą programoje „Progress MOVEit Transfer“, praėjus mažiau nei dienai po to, kai pardavėjas jį atskleidė.
MOVEit Transfer yra valdomas failų perdavimo (MFT) sprendimas, naudojamas įmonės aplinkoje, siekiant saugiai perkelti failus tarp verslo partnerių ir klientų naudojant SFTP, SCP ir HTTP protokolus.
Naujoji saugos problema gavo identifikatorių CVE-2024-5806 ir leidžia užpuolikams apeiti autentifikavimo procesą saugaus failų perdavimo protokolo (SFTP) modulyje, kuris yra atsakingas už failų perdavimo per SSH operacijas.
Užpuolikas, pasinaudojęs šia klaida, gali pasiekti slaptus duomenis, saugomus MOVEit Transfer serveryje, įkelti, atsisiųsti, ištrinti arba modifikuoti failus ir perimti arba sugadinti failų perkėlimą.
Galimas išnaudojimo kodas
Grėsmių stebėjimo platforma „Shadowserver Foundation“ pranešė matanti išnaudojimo bandymus netrukus po to, kai „Progress“ paskelbė biuletenį CVE-2024-5806, todėl įsilaužėliai jau atakuoja pažeidžiamus galutinius taškus.

„Censys“ atliktas tinklo nuskaitymas rodo, kad šiuo metu yra apie 2 700 internete veikiančių MOVEit Transfer egzempliorių, kurių dauguma yra JAV, JK, Vokietijoje, Kanadoje ir Nyderlanduose.

Šaltinis: Censys
Tačiau tų, kurie nepritaikė saugos naujinimų ir (arba) siūlomų trečiosios šalies trūkumo mažinimo priemonių, procentas nežinomas.
„ShadowServer“ ataskaita apie bandymus išnaudoti buvo paskelbta po to, kai įžeidžianti saugos įmonė „watchTowr“ paskelbė techninę informaciją apie pažeidžiamumą, kaip jį galima išnaudoti ir ko gynėjai turėtų ieškoti žurnaluose, kad patikrintų, ar nėra išnaudojimo požymių.
„watchTowr“ taip pat pateikia techninę analizę, kaip užpuolikai gali manipuliuoti SSH viešojo rakto keliais, kad priverstų serverį autentifikuotis naudojant užpuoliko valdomus kelius, o tai gali atskleisti „Net-NTLMv2“ maišą.
Be to, „watchTowr“ ir pažeidžiamumo tyrinėtoja Sina Kheirkhah jau viešai pasiekiamas koncepcijos įrodymo išnaudojimo kodas, skirtas CVE-2024-5806.
Išsiaiškinus šią informaciją, atakos neabejotinai paspartės artimiausiomis dienomis, todėl labai svarbu, kad organizacijos kuo greičiau pritaikytų susijusius saugos naujinimus ir mažinimo priemones.
CVE-2024-5806 išleisti pataisymai
Kaip pažanga paaiškinta saugos biuletenyje, CVE-2024-5806 turi įtakos šioms produkto versijoms:
- 2023.0.0 iki 2023.0.11
- 2023.1.0 iki 2023.1.6
- 2024.0.0 prieš 2024.0.2
Pataisymai buvo prieinami MOVEit Transfer 2023.0.11, 2023.1.6 ir 2024.0.2, pasiekiami Progress bendruomenės portale.
Klientai, neturintys galiojančios priežiūros sutarties, turėtų nedelsdami susisiekti su atnaujinimų komanda arba „Progress“ partnerio atstovu, kad išspręstų problemą.
MOVEit Cloud klientams nereikia imtis jokių veiksmų, kad sumažintų kritinį trūkumą, nes pataisos jau buvo automatiškai įdiegtos.
Be paties trūkumo, „Progress“ pažymi, kad ji aptiko atskirą trečiosios šalies komponento, naudojamo MOVEit Transfer, pažeidžiamumą, o tai padidina su CVE-2024-5806 susijusią riziką.
Siekiant sumažinti šį trūkumą, kol nebus pataisyta iš trečiosios šalies tiekėjo, sistemos administratoriams patariama blokuoti nuotolinio darbalaukio protokolo (RDP) prieigą prie MOVEit Transfer serverių ir apriboti išeinančius ryšius su žinomais / patikimais galiniais taškais.
„Progress“ taip pat išleido saugos biuletenį apie panašią autentifikavimo apėjimo problemą CVE-2024-5805, kuri turi įtakos MOVEit Gateway 2024.0.0.
MOVEit yra plačiai naudojamas įmonės aplinkoje, o įsilaužėliai stebi gaminio pažeidžiamumą ir išnaudojimus, ypač dėl to, kad praėjusiais metais Clop išpirkos reikalaujančios programos panaudojo nulinę dieną, kad pažeistų ir vėliau išviliotų tūkstančius organizacijų.