-
09/04/2020
-
85
-
553 bài viết
Lỗ hổng zero-day trong MOVEit Transfer
Progress Software vừa phát hành các bản cập nhật để giải quyết một lỗ hổng zero-day trong MOVEit Transfer, một phần mềm truyền file phổ biến.
(Ảnh: helpnetsecurity)
Lỗ hổng có mã định danh CVE-2023-34362, chưa có điểm CVSS. Đây là một lỗi SQL injection đang bị tin tặc khai thác trên thực tế.
Khai thác thành công lỗ hổng có thể cho phép kẻ tấn công chưa xác thực leo thang đặc quyền, truy cập trái phép vào môi trường MOVEit Transfer, dẫn đến thực thi mã từ xa và đánh cắp dữ liệu.
Lỗ hổng ảnh hưởng đến các phiên bản:
(Ảnh: huntress)
Nếu chưa thể cập nhật ngay, giải pháp tạm thời là tắt toàn bộ lưu lượng HTTP và HTTPs đến môi trường MOVEit Transfer bằng cách thay đổi quy tắc tường lửa, nhằm từ chối lưu lượng HTTP và HTTPs đến MOVEit Transfer trên cổng 80 và 443. Tuy nhiên, một số vấn đề có thể xảy ra (cho đến khi lưu lượng HTTP và HTTPs được kích hoạt lại):
Người dùng và quản trị viên cũng nên kiểm tra các dấu hiệu truy cập trái phép trong 30 ngày qua trên tất cả các phiên bản MOVEit Transfer (kể cả các bản sao lưu). Các dấu hiệu bao gồm:
(Ảnh: helpnetsecurity)
Lỗ hổng có mã định danh CVE-2023-34362, chưa có điểm CVSS. Đây là một lỗi SQL injection đang bị tin tặc khai thác trên thực tế.
Khai thác thành công lỗ hổng có thể cho phép kẻ tấn công chưa xác thực leo thang đặc quyền, truy cập trái phép vào môi trường MOVEit Transfer, dẫn đến thực thi mã từ xa và đánh cắp dữ liệu.
Lỗ hổng ảnh hưởng đến các phiên bản:
- MOVEit Transfer 2023.0.0 (15.0.0)
- MOVEit Transfer 2022.1.x (14.1.x)
- MOVEit Transfer 2022.0.x (14.0.x)
- MOVEit Transfer 2021.1.x (13.1.x)
- MOVEit Transfer 2021.0.x (13.0.x)
- MOVEit Transfer 2020.1.x (12.1.x)
(Ảnh: huntress)
Nếu chưa thể cập nhật ngay, giải pháp tạm thời là tắt toàn bộ lưu lượng HTTP và HTTPs đến môi trường MOVEit Transfer bằng cách thay đổi quy tắc tường lửa, nhằm từ chối lưu lượng HTTP và HTTPs đến MOVEit Transfer trên cổng 80 và 443. Tuy nhiên, một số vấn đề có thể xảy ra (cho đến khi lưu lượng HTTP và HTTPs được kích hoạt lại):
- Người dùng sẽ không thể đăng nhập vào giao diện web của MOVEit Transfer
- Các tác vụ MOVEit Automation sử dụng máy chủ MOVEit Transfer gốc sẽ không hoạt động.
- REST, Java và .NET APIs sẽ không hoạt động.
- Tiện ích bổ sung MOVEit Transfer cho Outlook sẽ không hoạt động.
Người dùng và quản trị viên cũng nên kiểm tra các dấu hiệu truy cập trái phép trong 30 ngày qua trên tất cả các phiên bản MOVEit Transfer (kể cả các bản sao lưu). Các dấu hiệu bao gồm:
- Bất kỳ phiên bản nào của tệp tập lệnh human2[.]aspx và [.]cmdline
- Tồn tại các tệp mới/không mong muốn trong thư mục c:\MOVEit Transfer\wwwroot\
- Tồn tại các tệp mới/không mong muốn trong thư mục C:\Windows\TEMP\[random]\ với phần mở rộng tệp là [.]cmdline
- Có hiện tượng các tệp lớn và/hoặc không mong muốn được tải về từ các IP không xác định.
Theo CSA Singapore