Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Злоумышленники активно эксплуатируют уязвимость нулевого дня в программе MOVEit Transfer

02/06/23

moveit_4x3

MOVEit Transfer — это программное обеспечение для безопасной передачи файлов между партнерами и клиентами, разработанное Ipswitch, дочерней компанией американской Progress Software Corporation. Всего MOVEit Transfer используют 1,7 тысячи софтверных компаний и 3,5 миллиона разработчиков.

Progress Software выпустила предупреждение безопасности, в котором сообщила о «критической» уязвимости в MOVEit Transfer, способной привести к повышению привилегий и потенциальному несанкционированному доступу к среде. Сегодня стало известно, что данная уязвимость действительно была использована злоумышленниками для массового скачивания данных из баз организаций. Пока неизвестно, когда началась эксплуатация и кто конкретно стоит за этой атакой, пишет Securitylab.

«Если вы являетесь клиентом MOVEit Transfer, то очень важно, чтобы вы немедленно предприняли действия, указанные ниже, чтобы помочь защитить вашу среду MOVEit Transfer, пока наша команда создаёт патч», — говорится в предупреждении безопасности от Progress Software.

Поскольку патч пока недоступен и находится на стадии тестирования, Progress Software предложила меры по смягчению последствий, которые администраторы MOVEit могут использовать для защиты своих установок. Для предотвращения злонамеренной эксплуатации уязвимости разработчики рекомендуют администраторам блокировать внешний трафик на порты 80 и 443 на сервере MOVEit.

Progress Software предупреждает, что блокировка этих портов приведёт к невозможности внешнего доступа к веб-интерфейсу, нарушению работы некоторых задач MOVEit Automation, блокировке API и отключению плагина Outlook MOVEit. Однако протоколы SFTP и FTP/s могут продолжать использоваться для передачи файлов.

Разработчики также советуют администраторам проверить папку «C:\MOVEit Transfer\wwwroot» на наличие подозрительных файлов, включая резервные копии или большие файлы для выгрузки. Они могут свидетельствовать о том, что злоумышленники украли данные или делают это прямо сейчас.

Никакой более подробной информации об уязвимости пока опубликовано не было. Однако на основании блокируемых портов и указанного места для проверки наличия подозрительных файлов можно предположить, что это уязвимость веб-интерфейса.

До выпуска патча организациям настоятельно рекомендуется последовать советам Progress Software или вовсе временно отключить среду MOVEit Transfer. Уже сейчас стоит обязательно провести тщательное расследование, не были ли похищены корпоративные данные, а после выхода официального патча — применить его и заново запустить сервер.

Хотя Progress Software пока официально не заявляла о том, что уязвимость активно эксплуатируется, представители многих организаций уже высказались о том, что их данные были украдены. Судя по всему, злоумышленники пока не начали шантажировать своих жертв, и, вероятно, ещё не выдвигали требования выкупа. Однако это лишь вопрос времени. Скоро мы наверняка узнаем, кто стоит за этими атаками.

Темы:Преступления0Day-уязвимости
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...