Progress Software 已在其文件傳輸軟件 MOVEit Transfer 中發現一個漏洞,該漏洞可能導致權限提升和潛在的未經授權訪問環境,該公司在一份安全公告中表示。
在 MOVEit Transfer Web 應用程序中發現了一個 SQL 注入漏洞,可能允許未經身份驗證的攻擊者未經授權訪問 MOVEit Transfer 的數據庫。
這取決于所使用的數據庫引擎(MySQL 、Microsoft SQL Server 或 Azure SQL),攻擊者除了執行更改或刪除數據庫元素的 SQL 語句外,還可能推斷出有關數據庫結構和內容的信息。
MOVEit Transfer 旨在讓企業在業務合作伙伴和客戶之間安全地傳輸文件。
所有 MOVEit Transfer 版本都受此漏洞影響,Progress 在公告中表示。該公司已為版本 2021.0.6 (13.0.6)、2021.1.4 (13.1.4)、2022.0.4 (14.0.4)、2022.1.5 (14.1.5) 和 2023.0.1 (15.0) 提供補丁)。
該漏洞尚未分配 CVE 和 CVS 分數。
該漏洞已被利用
幾家網絡安全公司報告稱,威脅行為者可能已經利用了該漏洞。
Progress Software 建議 MOVEit 客戶至少在過去 30 天內檢查未授權訪問的指標,這意味著在漏洞被披露之前檢測到攻擊者活動。
Rapid7 在博客中表示,截至 5 月 31 日,大約有 2500 個 MOVEit Transfer 實例暴露在公共互聯網上,其中大部分似乎在美國。
該公司已在多個客戶環境中識別出相同的 web shell 名稱,這可能表明存在自動利用。
Web shell 代碼可以首先確定入站請求是否包含名為 X-siLock-Comment 的標頭,如果標頭未填充特定的類似密碼的值,則返回 404“未找到”錯誤。
截至 2023 年 6 月 1 日,Rapid7 觀察到的所有 MOVEit Transfer 利用實例都涉及 MOVEit 安裝目錄的 wwwroot 文件夾中文件 human2.aspx 的存在(human.aspx 是 MOVEit 用于網絡的本機 aspx 文件界面)。
建議用戶查看過去90天的活動
早在 2023 年 3 月 3 日,網絡安全公司 GreyNoise 就觀察到位于 /human.aspx 的 MOVEit Transfer 登錄頁面的掃描活動。
雖然我們沒有觀察到與利用直接相關的活動,但我們觀察到的所有 5 個試圖發現 MOVEit 安裝位置的 IP 都被 GreyNoise 標記為“惡意”以進行先前的活動。
該公司在一篇博客文章中說,并補充說根據觀察到的掃描活動,建議 MOVEit Transfer 的用戶將審查潛在惡意活動的時間窗口延長至至少 90 天。
同樣,TrustedSec 還指出,自 2023 年 5 月 28 日以來,后門程序已上傳到公共站點,這意味著攻擊者可能利用陣亡將士紀念日假期周末獲得了對系統的訪問權限。也有關于受影響受害者的數據泄露的報告。
緩解建議
Progress 建議用戶拒絕所有 HTTP (TCP/80) 和 HTTPS (TCP/443) 流量到 MOVEit 環境。
請注意,這將阻止對系統的所有訪問,但目前似乎未受影響的 SFTP/FTP 仍將有效。
該公司還建議通過阻止入站和出站流量來隔離服務器,并檢查環境中是否存在可能的危害指標,如果是,則在應用修復程序之前將其刪除。
近年來,文件傳輸解決方案一直是包括勒索軟件集團在內的攻擊者的熱門目標。我們強烈建議 MOVEit Transfer 客戶在緊急情況下優先考慮緩解措施,Rapid7 在帖子中說。
CISA還發布了警告,敦促用戶和組織遵循緩解措施以防止任何惡意活動。
合天網安實驗室
D1Net
安全圈
商密君
安全牛
GoUpSec
黑白之道
CNCERT國家工程研究中心
黑白之道
奇安信集團
數世咨詢
安全圈
