Kritikus sebezhetőség veszélyezteti az internet biztonságát
Egy nemrégiben felfedezett kritikus sebezhetőség egy széles körben használt szoftverben hatalmas veszélyt jelent az internet biztonságára, és a támadók már aktívan próbálják kihasználni ezt a valós támadások során – figyelmeztetnek a kutatók.
A szoftver, amelyet MOVEit néven ismerünk, és a Progress Software értékesíti, lehetővé teszi a vállalatok számára a fájlok átvitelét és kezelését különböző protokollok, például SFTP, SCP és HTTP segítségével, és olyan módon, amely megfelel a PCI és HIPAA szabályozási előírásainak. A cikk publikálásának idején az internetes szkennelések azt mutatták, hogy a MOVEit szoftvert közel 1,800 hálózatban telepítették világszerte, legnagyobb számban az Egyesült Államokban. Egy külön szkennelés, amelyet a Censys biztonsági cég végzett kedden, 2,700 ilyen példányt talált.
Káosz okozása egy null stringgel
Tavaly egy kritikus MOVEit sebezhetőség több mint 2,300 szervezet, köztük a Shell, a British Airways, az Egyesült Államok Energiaügyi Minisztériuma és Ontario kormányzati születési nyilvántartás, a BORN Ontario kompromittálásához vezetett, amely 3,4 millió ember adatainak kiszivárgását eredményezte.
Kedden a Progress Software nyilvánosságra hozta a CVE-2024-5806 jelű sebezhetőséget, amely lehetővé teszi a támadók számára, hogy megkerüljék az hitelesítést és hozzáférjenek érzékeny adatokhoz. A sebezhetőséget a MOVEit SFTP moduljában találták, és a súlyossági besorolása 9,1 a 10-ből. A sebezhetőség nyilvánosságra kerülését követően órákon belül a hackerek már megpróbálták kihasználni azt, mondták a Shadowserver szervezet kutatói.
A watchTowr Labs támadó biztonsági cég kutatói által végzett mélyreható technikai elemzés szerint a sebezhetőség legalább két támadási forgatókönyvben kihasználható. A leghatékonyabb támadás lehetővé teszi a hackerek számára, hogy egy null stringet – egy programozási koncepció, amely nem tartalmaz értéket – használjanak nyilvános titkosítási kulcsként a hitelesítési folyamat során. Ennek eredményeként a hacker be tud jelentkezni egy létező megbízható felhasználóként. „Ez egy pusztító támadás,” írták a watchTowr Labs kutatói. „Lehetővé teszi bárkinek, aki képes egy nyilvános kulcsot elhelyezni a szerveren, hogy bármelyik SFTP felhasználó személyazonosságát átvegye. Innentől kezdve ez a felhasználó elvégezheti az összes szokásos műveletet – olvashat, írhat vagy törölhet fájlokat, vagy egyéb módon káoszt okozhat.”
Egy külön támadást is leírtak a watchTowr kutatói, amely lehetővé teszi a támadók számára a felhasználói jelszavak titkosítási hash-einek megszerzését. Ez úgy működik, hogy manipulálják az SSH nyilvános kulcspályákat egy „kényszerített hitelesítés” végrehajtásához egy rosszindulatú SMB szerver és egy érvényes felhasználónév segítségével. A technika feltárja a felhasználói jelszó titkosítási hash-jét. A hash-t ezután fel kell törni.
A kutatók szerint a nyilvános kulcs feltöltésének követelménye egy sebezhető szerverre nem különösebben magas akadály a támadók számára, mivel a MOVEit teljes célja a fájlok átvitele. Az sem különösebben nehéz megtanulni vagy kitalálni egy rendszer felhasználói fiókjainak neveit. A watchTowr bejegyzés azt is megjegyezte, hogy az ő exploitjaik az IPWorks SSH nevű kereskedelmi terméket használják, amelyet a Progress Software a MOVEit-ben is alkalmaz.
A Progress Software tanácsadója azt mondta: „Egy frissen azonosított sebezhetőség egy harmadik fél által használt MOVEit Transfer komponensben növeli az eredeti kérdés kockázatát, ha nem javítják. Míg a Progress által június 11-én kiadott javítás sikeresen orvosolja a CVE-2024-5806-ban azonosított problémát, ez a frissen nyilvánosságra hozott harmadik fél sebezhetőség új kockázatot vezet be.”
A bejegyzés azt tanácsolta az ügyfeleknek, hogy biztosítsák, hogy a bejövő RDP hozzáférés a MOVEit szerverekhez le legyen tiltva, és korlátozzák a MOVEit szerverekből ismert megbízható végpontokhoz való kimenő hozzáférést. Egy vállalati képviselő nem kívánta megnevezni, hogy az alkotóelem az IPWorks SSH volt-e.
A sebezhetőség a következő MOVEit Transfer verziókat érinti:
- 2023.0.0 2023.0.11 előtt
- 2023.1.0 2023.1.6 előtt
- 2024.0.0 2024.0.2 előtt
Javítások a 2023.0.11, 2023.1.6, és 2024.0.2 verziókhoz itt, itt, és itt érhetők el. A MOVEit felhasználók ezen a linken ellenőrizhetik, hogy melyik verziót használják.
Tekintettel a tavalyi MOVEit sebezhetőség tömeges kihasználása által okozott károkra, valószínű, hogy ez a legújabb is hasonló utat követhet. Az érintett adminisztrátoroknak prioritásként kell kezelniük annak kivizsgálását, hogy sebezhetők-e, és megfelelően reagálniuk kell.
Érdekes tény: Az AI-alapú szkennelési technológiák egyre fontosabbá válnak a sebezhetőségek gyors azonosításában és elhárításában.
Források: Shadowserver, watchTowr Labs, Progress Software