Depois que centenas de empresas foram atacadas com uma vulnerabilidade de dia 0 no MOVEit Transfer, o desenvolvedor deste produto de gerenciamento de transferência de arquivos, Software Progresso, prometeu lançar patches regularmente para fornecer uma “previsível, simples, e processo transparente de correção de bugs.” O primeiro pacote incluía patches para três vulnerabilidades, incluindo um crítico.
Vulnerabilidades do MOVEit – A visão pós-fato
Toda essa história começou com uma vulnerabilidade de 0 dias (CVE-2023-34362) na transferência MOVEit, qual foi descoberto no início de junho 2023. Todas as versões do MOVEit Transfer foram afetadas pelo problema. Investigadores afirmam que os ataques com exploração desta vulnerabilidade começaram já em maio 27, 2023.
Os invasores usaram esta vulnerabilidade para implantar web shells personalizados em servidores afetados. Isso permitiu que eles listassem os arquivos armazenados no servidor, baixe-os, e roubar credenciais e segredos da conta. Este último incluiu o AzureBlobStorageAccount, AzureBlobKey, e configurações do AzureBlobContainer. Para simplificar, todos os ataques com essa vulnerabilidade foram de fato uma injeção SQL sofisticada. A sofisticação aqui se deve à forma inusitada de acesso ao banco de dados – na verdade, através da violação de dia 0.
Como resultado, Analistas da Microsoft vincularam os ataques massivos para o grupo de hackers do ransomware Cl0p (também conhecido como Lace Tempest, TA505, FIN11, ou DEV-0950). E logo os hackers começaram a fazer exigências, extorquir resgates das empresas afetadas. No momento, de acordo com especialistas da Emsisoft, o número de empresas vítimas ultrapassa 230: pelo menos 20 escolas nos EUA e dezenas de universidades em todo o mundo foram afetadas. No total, os vazamentos afetaram informações sobre 17-20 Milhões de pessoas.
Vulnerabilidades MOVEit MFT recebem uma correção
Os programas MOVEit receberão service packs da Progress Software, incluindo transferência MOVEit e automação MOVEit. O primeiro já não recebeu um patch que corrige uma injeção crítica de SQL. Ele também contém correções para dois outros, vulnerabilidades menos graves.
O problema crítico foi identificado como CVE-2023-36934 pelo Iniciativa Zero Day da Trend Micro. Os desenvolvedores relatam que pode ser usado sem autenticação, permitindo que um invasor obtenha acesso não autorizado ao banco de dados MOVEit Transfer.
Atualmente não há relatos de exploração ativa desta violação por hackers. A segunda vulnerabilidade também é uma injeção de SQL e recebeu o identificador CVE-2023-36932. Os hackers usam ativamente este, uma vez que conseguem contornar a autenticação. Ambas as injeções de SQL afetam várias versões do MOVEit Transfer, Incluindo 12.1.10 e depois, 13.0.8 e depois, 13.1.6 e depois, 14.0.6 e depois, 14.1.7 e depois, e 15.0.3 e depois.
O terceiro problema abordado pelos patches neste mês foi o CVE-2023-36933 vulnerabilidade. Esta violação permite que invasores encerrem espontaneamente um programa. Bug persiste nas versões do MOVEit Transfer 13.0.8 e depois, 13.1.6 e depois, 14.0.6 e depois, 14.1.7 e depois, e 15.0.3 e depois. Empresa recomenda que seus clientes instalem atualizações para suas versões, correspondente à tabela abaixo.
| Versões vulneráveis | Versão corrigida | Documentação | Notas de versão |
|---|---|---|---|
| Transferência MOVEit 2023.0.x (15.0.x) | Transferência MOVEit 2023.0.4 (15.0.4) | Mova isso 2023 Atualizar | Transferência MOVEit 2023.0.4 |
| Transferência MOVEit 2022.1.x (14.1.x) | Transferência MOVEit 2022.1.8 (14.1.8) | Mova isso 2022 Atualizar | Transferência MOVEit 2022.1.8 |
| Transferência MOVEit 2022.0.x (14.0.x) | Transferência MOVEit 2022.0.7 (14.0.7) | Mova isso 2022 Atualizar | Transferência MOVEit 2022.0.7 |
| Transferência MOVEit 2021.1.x (13.1.x) | Transferência MOVEit 2021.1.7 (13.1.7) | Mova isso 2021 Atualizar | Transferência MOVEit 2021.1.7 |
| Transferência MOVEit 2021.0.x (13.0.x) | Transferência MOVEit 2021.0.9 (13.0.9) | Mova isso 2021 Atualizar | Transferência MOVEit 2021.0.9 |
| Transferência MOVEit 2020.1.6+ (12.1.6) | Pacote de serviços especiais disponível | Transferência MOVEit 2020.1SP | Transferência MOVEit 2020.1.7 |
| Transferência MOVEit 2020.0.x+ (12.0.x) | Atualizar para uma versão compatível | Guia de atualização/migração | N / D |
