Lỗ hổng zero-day trong MOVEit Transfer

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
93
613 bài viết
Lỗ hổng zero-day trong MOVEit Transfer
Progress Software vừa phát hành các bản cập nhật để giải quyết một lỗ hổng zero-day trong MOVEit Transfer, một phần mềm truyền file phổ biến.

move 4.jpg

(Ảnh: helpnetsecurity)

Lỗ hổng có mã định danh CVE-2023-34362, chưa có điểm CVSS. Đây là một lỗi SQL injection đang bị tin tặc khai thác trên thực tế.

Khai thác thành công lỗ hổng có thể cho phép kẻ tấn công chưa xác thực leo thang đặc quyền, truy cập trái phép vào môi trường MOVEit Transfer, dẫn đến thực thi mã từ xa và đánh cắp dữ liệu.

Lỗ hổng ảnh hưởng đến các phiên bản:
  • MOVEit Transfer 2023.0.0 (15.0.0)
  • MOVEit Transfer 2022.1.x (14.1.x)
  • MOVEit Transfer 2022.0.x (14.0.x)
  • MOVEit Transfer 2021.1.x (13.1.x)
  • MOVEit Transfer 2021.0.x (13.0.x)
  • MOVEit Transfer 2020.1.x (12.1.x)
Người dùng và quản trị viên đang sử dụng các phiên bản trên nên cập nhật ngay phiên bản mới nhất.

move.jpg

(Ảnh: huntress)

Nếu chưa thể cập nhật ngay, giải pháp tạm thời là tắt toàn bộ lưu lượng HTTP và HTTPs đến môi trường MOVEit Transfer bằng cách thay đổi quy tắc tường lửa, nhằm từ chối lưu lượng HTTP và HTTPs đến MOVEit Transfer trên cổng 80 và 443. Tuy nhiên, một số vấn đề có thể xảy ra (cho đến khi lưu lượng HTTP và HTTPs được kích hoạt lại):
  • Người dùng sẽ không thể đăng nhập vào giao diện web của MOVEit Transfer
  • Các tác vụ MOVEit Automation sử dụng máy chủ MOVEit Transfer gốc sẽ không hoạt động.
  • REST, Java và .NET APIs sẽ không hoạt động.
  • Tiện ích bổ sung MOVEit Transfer cho Outlook sẽ không hoạt động.
Ngoài ra, việc áp dụng giải pháp tạm thời trên sẽ không ảnh hưởng đến các giao thức SFTP và FTP/s. Người dùng và quản trị viên vẫn có thể truy cập vào MOVEit Transfer bằng cách sử dụng máy tính từ xa để truy cập vào máy tính Windows, sau đó truy cập vào https://localhost/.

Người dùng và quản trị viên cũng nên kiểm tra các dấu hiệu truy cập trái phép trong 30 ngày qua trên tất cả các phiên bản MOVEit Transfer (kể cả các bản sao lưu). Các dấu hiệu bao gồm:
  • Bất kỳ phiên bản nào của tệp tập lệnh human2[.]aspx và [.]cmdline
  • Tồn tại các tệp mới/không mong muốn trong thư mục c:\MOVEit Transfer\wwwroot\
  • Tồn tại các tệp mới/không mong muốn trong thư mục C:\Windows\TEMP\[random]\ với phần mở rộng tệp là [.]cmdline
  • Có hiện tượng các tệp lớn và/hoặc không mong muốn được tải về từ các IP không xác định.

 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve-2023-34362 moveit transfer zero-day
Bên trên