Свидетели сме на поредната значима опасност в онлайн пространството, като разбира се това е нормално, имайки предвид постоянните опити на хакерите да открият вратички в защитните системи. Сега научаваме за критична уязвимост, която засяга популярно софтуерно решение. Така под риск са голям кръг от потребители, а хакерите активно се опитват да се възползват.

Става дума за решение с името MOVEit на Progress Software, което позволява на корпорациите да прехвърлят и управляват файлове чрез разпочни характеристики, включително SFTP, SCP и HTTP протоколи според регулациите наложени от PCI и HIPAA. Към момента софтуерът се използва в близо 1800 мрежи в световен мащаб, като е най-разпространен в САЩ.

Миналата година критична уязвимост в MOVEit доведе до компрометирането на над 23000 организации, включително Shell, British Airways и други правителствени и щатски организации. В крайна сметка изтекоха данни за 3.4 млн. човека.

По-рано тази седмица Progress Software разкри за наличието на нова уязвимост (CVE-2024-5806), която позволява на хакерите да прескочат оторизацията и да добият достъп до чувствителни данни. Тази уязвимост е открита в модула MOVEit SFTP като е с рейтинг на сериозност 9.1 от 10. Броени часове след това разкритие хакери вече се опитаха да я експлоатират.

Анализ на уязвимостта от компанията в сектора на сигурността watchTowr Labs показва, че тя може да бъде използвана поне по два начина. В по-лошият случай хакерите използват „null string“ като криптиращ ключ по време на процеса по оторизация. В резултат е възможно хакерът да се впише като съществуващ, надежден потребител. След това е възможно извършването на множество дейности, четене, запис и изтриване на файлове. Другият тип атака включва използването на криптографски хашове, които маскират паролите.

От Progress Software препоръчват на потребителите си да проверят дали входящия RDP достъп до сървърите с MOVEit е блокиран. Също така трябва да се ограничи изходящият досртъп до познати и надеждни крайни точки. Уязвимостта засяга следните версии на MOVEit Transfer: 2023.0.0 преди 2023.0.11, 2023.1.0 преди 2023.1.6 и 2024.0.0 преди 2024.0.2. Вече са налични поправки.

Като се имат предвид щетите, причинени от масовото използване на миналогодишната уязвимост MOVEit, вероятно и тази нова уязвимост може да доведе до подобни резултати. Засегнатите администратори трябва приоритетно да проучат дали са уязвими възможно най-скоро и да реагират по подходящ начин.