Af Eskil Sørensen, 05/06/23
Angribere udnytter pt. aktivt en 0-dagssårbarhed i en filoverførselssoftware fra MOVEit Transfer til at stjæle data fra organisationer.
Det skriver Bleeping Computer.
MOVEit Transfer er en administreret filoverførsel (MFT)-løsning, som er udviklet af USA-baserede Progress Software Corporation. Den giver organisationer mulighed for sikkert at overføre filer til samarbejdspartnere ved hjælp af SFTP, SCP og HTTP-baserede uploads. Løsningen tilbydes både som on-premise og som en cloudbaseret SaaS-platform.
Sagen handler om, a trusselsaktører har udnyttet en 0-dagssårbarhed i MOVEit MFT-softwaren til at udføre massedownload af data fra organisationer. Det er uklart, hvornår udnyttelsen fandt sted, og hvilke trusselsaktører, der står bag angrebene, men Bleeping Computers velorienterede journalist Lawrence Abrams fortæller, at han har fået at vide, at ’adskillige organisationer er blevet kompromitteret og fået stjålet data’.
Afhjælpning mulig indtil patch foreligger
I sidste uge udgav Progress en advisory, der advarer kunder om en ’kritisk’ sårbarhed i MOVEit MFT. Denne indeholder oplysninger om, hvordan man afhjælper risikoen for udnyttelse, indtil patches er installeret. Det fremgår også, at udnyttelse af sårbarheden kan føre til eskalerede privilegier og potentiel uautoriseret adgang til miljøet. Videre hedder det, at det er ’..ekstremt vigtigt, at du tager øjeblikkelig handling som angivet nedenfor for at hjælpe med at beskytte dit MOVEit Transfer-miljø, mens vores team producerer en patch.’
For at forhindre udnyttelse advarer udviklerne administratorer om at blokere ekstern trafik til port 80 og 443 på MOVEit Transfer-serveren.
Denne blokering vil ifølge Progress forhindre ekstern adgang til web-brugergrænsefladen. Til gengæld vil den også forhindre nogle MOVEit Automation-opgaver i at fungere, blokere API'er og forhindre Outlook MOVEit Transfer-pluginnet i at fungere. SFTP- og FTP/s-protokoller kan dog fortsat bruges til at overføre filer, fremgår det.
Tjek mappen
Udviklerne advarer også administratorer om at tjekke mappen 'c:\MOVEit Transfer\wwwroot\' for uventede filer, inklusive sikkerhedskopier eller store fildownloads.
Endelig skriver Bleeping Computer, at store downloads eller uventede sikkerhedskopier ’sandsynligvis’ er indikatorer på, at trusselsaktørerne har stjålet data eller er i gang med at gøre det.
Der er ikke frigivet nogen oplysninger om, at der er tale om en 0-dags sårbarhed, men sikkerhedsvirksomheden Rapid7 oplyser, at MOVEit Transfer-fejlen er en SQL-injectionsårbarhed, der fører til fjernafvikling af kode. Der foreligger dog ikke noget CVE-nummer endnu.
Ifølge Rapid7 er der 2.500 udsatte MOVEit Transfer-servere, hvor størstedelen er placeret i USA.