Kritikus MOVEit sebezhetőség veszélyezteti az internet hatalmas részeit, itt az ideje cselekedni!

Kritikus sebezhetőség veszélyezteti az internet biztonságát

Egy nemrégiben felfedezett kritikus sebezhetőség egy széles körben használt szoftverben hatalmas veszélyt jelent az internet biztonságára, és a támadók már aktívan próbálják kihasználni ezt a valós támadások során – figyelmeztetnek a kutatók.

A szoftver, amelyet MOVEit néven ismerünk, és a Progress Software értékesíti, lehetővé teszi a vállalatok számára a fájlok átvitelét és kezelését különböző protokollok, például SFTP, SCP és HTTP segítségével, és olyan módon, amely megfelel a PCI és HIPAA szabályozási előírásainak. A cikk publikálásának idején az internetes szkennelések azt mutatták, hogy a MOVEit szoftvert közel 1,800 hálózatban telepítették világszerte, legnagyobb számban az Egyesült Államokban. Egy külön szkennelés, amelyet a Censys biztonsági cég végzett kedden, 2,700 ilyen példányt talált.

Káosz okozása egy null stringgel

Tavaly egy kritikus MOVEit sebezhetőség több mint 2,300 szervezet, köztük a Shell, a British Airways, az Egyesült Államok Energiaügyi Minisztériuma és Ontario kormányzati születési nyilvántartás, a BORN Ontario kompromittálásához vezetett, amely 3,4 millió ember adatainak kiszivárgását eredményezte.

Kedden a Progress Software nyilvánosságra hozta a CVE-2024-5806 jelű sebezhetőséget, amely lehetővé teszi a támadók számára, hogy megkerüljék az hitelesítést és hozzáférjenek érzékeny adatokhoz. A sebezhetőséget a MOVEit SFTP moduljában találták, és a súlyossági besorolása 9,1 a 10-ből. A sebezhetőség nyilvánosságra kerülését követően órákon belül a hackerek már megpróbálták kihasználni azt, mondták a Shadowserver szervezet kutatói.

A watchTowr Labs támadó biztonsági cég kutatói által végzett mélyreható technikai elemzés szerint a sebezhetőség legalább két támadási forgatókönyvben kihasználható. A leghatékonyabb támadás lehetővé teszi a hackerek számára, hogy egy null stringet – egy programozási koncepció, amely nem tartalmaz értéket – használjanak nyilvános titkosítási kulcsként a hitelesítési folyamat során. Ennek eredményeként a hacker be tud jelentkezni egy létező megbízható felhasználóként. „Ez egy pusztító támadás,” írták a watchTowr Labs kutatói. „Lehetővé teszi bárkinek, aki képes egy nyilvános kulcsot elhelyezni a szerveren, hogy bármelyik SFTP felhasználó személyazonosságát átvegye. Innentől kezdve ez a felhasználó elvégezheti az összes szokásos műveletet – olvashat, írhat vagy törölhet fájlokat, vagy egyéb módon káoszt okozhat.”

Egy külön támadást is leírtak a watchTowr kutatói, amely lehetővé teszi a támadók számára a felhasználói jelszavak titkosítási hash-einek megszerzését. Ez úgy működik, hogy manipulálják az SSH nyilvános kulcspályákat egy „kényszerített hitelesítés” végrehajtásához egy rosszindulatú SMB szerver és egy érvényes felhasználónév segítségével. A technika feltárja a felhasználói jelszó titkosítási hash-jét. A hash-t ezután fel kell törni.

A kutatók szerint a nyilvános kulcs feltöltésének követelménye egy sebezhető szerverre nem különösebben magas akadály a támadók számára, mivel a MOVEit teljes célja a fájlok átvitele. Az sem különösebben nehéz megtanulni vagy kitalálni egy rendszer felhasználói fiókjainak neveit. A watchTowr bejegyzés azt is megjegyezte, hogy az ő exploitjaik az IPWorks SSH nevű kereskedelmi terméket használják, amelyet a Progress Software a MOVEit-ben is alkalmaz.

A Progress Software tanácsadója azt mondta: „Egy frissen azonosított sebezhetőség egy harmadik fél által használt MOVEit Transfer komponensben növeli az eredeti kérdés kockázatát, ha nem javítják. Míg a Progress által június 11-én kiadott javítás sikeresen orvosolja a CVE-2024-5806-ban azonosított problémát, ez a frissen nyilvánosságra hozott harmadik fél sebezhetőség új kockázatot vezet be.”

A bejegyzés azt tanácsolta az ügyfeleknek, hogy biztosítsák, hogy a bejövő RDP hozzáférés a MOVEit szerverekhez le legyen tiltva, és korlátozzák a MOVEit szerverekből ismert megbízható végpontokhoz való kimenő hozzáférést. Egy vállalati képviselő nem kívánta megnevezni, hogy az alkotóelem az IPWorks SSH volt-e.

A sebezhetőség a következő MOVEit Transfer verziókat érinti:

  • 2023.0.0 2023.0.11 előtt
  • 2023.1.0 2023.1.6 előtt
  • 2024.0.0 2024.0.2 előtt

Javítások a 2023.0.11, 2023.1.6, és 2024.0.2 verziókhoz itt, itt, és itt érhetők el. A MOVEit felhasználók ezen a linken ellenőrizhetik, hogy melyik verziót használják.

Tekintettel a tavalyi MOVEit sebezhetőség tömeges kihasználása által okozott károkra, valószínű, hogy ez a legújabb is hasonló utat követhet. Az érintett adminisztrátoroknak prioritásként kell kezelniük annak kivizsgálását, hogy sebezhetők-e, és megfelelően reagálniuk kell.

Érdekes tény: Az AI-alapú szkennelési technológiák egyre fontosabbá válnak a sebezhetőségek gyors azonosításában és elhárításában.

Források: Shadowserver, watchTowr Labs, Progress Software