Uma vulnerabilidade de bypass de autenticação do MOVEit Transfer divulgada ontem agora está sendo alvo de hackers; a Progress Software, produtora da solução, recomendou aos clientes que apliquem patches em caráter emergencial. A falha, catalogada como CVE-2024-5806, havia recebido uma pontuação de gravidade CVSS de 7,4, quando sua correção começou a ser distribuída, em 11 de junho. Ontem a Progress elevou a gravidade para 9,1.
Veja isso
Hack ao MOVEit continua com mais de 2.600 empresas afetadas
Quase 900 escolas nos EUA são atingidas pelo hack ao MOVEit
O CVE-2024-5806 é um bug no serviço MOVEit Transfer Secure File Transfer Protocol (SFTP) que afeta as versões 2023.0.0 anteriores à versão corrigida 2023.0.11, as versões 2023.1.0 anteriores à 2023.1.6 e as 2024.0.0 anteriores à 2024.0.2. Os invasores podem explorar a falha para acessar contas sem saber as credenciais.
Poucas horas após a publicação do comunicado, a Shadowserver Foundation detectou tentativas de exploração visando vulnerabilidades em sistemas honeypot.
“Embora haja muitas incógnitas em torno da falha no momento, ainda não vimos qualquer reconhecimento de exploração na natureza”, observou Scott Caveza, engenheiro de pesquisa da Tenable, em um e-mail para SC Media. , ainda estamos pedindo aos clientes que corrijam esta vulnerabilidade o mais rápido possível.”
Embora o comunicado Progress não forneça mais detalhes sobre como o bug poderia ser explorado, Rapid7 publicou um blog explicando que um invasor precisaria atingir uma conta que pudesse ser autenticada remotamente, a instância SFTP precisaria ser exposta e o nome de usuário da conta alvo precisaria ser conhecido pelo invasor.
O autor do blog observou que os invasores podem espalhar nomes de usuários para descobrir contas vulneráveis. E, de acordo com a Censys , aproximadamente 2.700 instâncias do MOVEit Transfer, principalmente dos Estados Unidos, foram expostas online no momento em que o comunicado foi publicado. No entanto, não se sabe quantas instâncias expostas permaneceram vulneráveis à falha.
“Quando comparados aos números de exposição do MOVEit Transfer de 2023, os números são notavelmente semelhantes, assim como as geografias e redes onde o MOVEit Transfer é observado”, afirmou Censys.
Em maio passado, uma vulnerabilidade crítica de injeção de SQL no MOVEit Transfer , rastreada como CVE-2023-34362 , foi massivamente explorada pelo grupo de ransomware Cl0p em um ataque generalizado à cadeia de suprimentos que afetou mais de 2.500 organizações e mais de 64 milhões de indivíduos, e continua aumentando .
“Não é que o MOVEit seja necessariamente menos seguro do que qualquer outro produto, no entanto, os sucessos anteriores na exploração do produto irão mantê-lo na mira dos pesquisadores de segurança e também dos malfeitores”, disse Erich Kron, defensor da conscientização de segurança da KnowBe4, em um comunicado. e-mail para SC Media. “Os usuários do software precisam garantir que tenham um plano para implantação rápida de patches e mitigação de ameaças. Quando novas vulnerabilidades forem expostas, as organizações vão querer ser ágeis o suficiente para fechar a porta às ameaças imediatamente.”
Embora o CVE-2024-5806 possa ter uma superfície de ataque menor, pois afeta menos versões do que o CVE-2023-34362, as possíveis consequências devastadoras da falha crítica de desvio de autenticação tornam a necessidade de corrigir as versões afetadas especialmente urgente.
“Rapid7 recomenda instalar os patches fornecidos pelo fornecedor para CVE-2024-5806 em caráter emergencial, sem esperar que ocorra um ciclo regular de patches”, afirmou a empresa de segurança.
Exploração PoC, detalhes técnicos de CVE-2024-5806 agora disponíveis publicamente
Os esforços de notificação antecipada da Progress e a distribuição do patch para CVE-2024-5806 deram aos defensores cibernéticos pelo menos duas semanas de vantagem para se defenderem contra explorações antecipadas. 20 minutos após a falha ser divulgada publicamente, os pesquisadores da watchTowr publicaram uma exploração de prova de conceito para a vulnerabilidade, afirmando que tiveram “sorte o suficiente de receber uma denúncia” que lhes permitiu analisar o CVE-2024-5806 antes do lançamento. levantamento do embargo.
watchTowr também publicou sua análise técnica aprofundada da falha e sua exploração na terça-feira, descrevendo como a autenticação pode ser obtida fornecendo um nome de usuário válido e uma chave pública SSH.
“CVE-2024-5806 é uma vulnerabilidade grave, no entanto, com base na análise detalhada e no código de exploração dos pesquisadores da watchTowr, parece que esta vulnerabilidade não é facilmente transformável em armas e ainda requer que um invasor tome medidas adicionais para explorar um potencial alvo”, disse Caveza.
watchTowr também observou que uma vulnerabilidade aparente no componente IPWorks SSH do MOVEit facilita a exploração do CVE-2024-5806.
“Embora a vulnerabilidade mais devastadora, a capacidade de se passar por usuários arbitrários, seja exclusiva do MOVEit, a vulnerabilidade de autenticação forçada menos impactante (mas ainda muito real) provavelmente afetará todos os aplicativos que usam o servidor SSH IPWorks”, observaram os pesquisadores.
A Progress atualizou seu comunicado na noite de terça-feira, atualizando a pontuação CVSS de CVE-2024-5806 para o atual 9.1 e divulgando uma “vulnerabilidade de terceiros recém-identificada ” que ainda não foi corrigida, sem indicar se a atualização se referia ao IPWorks. Falha no servidor SSH.
O comunicado atualizado afirma que a falha de terceiros não foi resolvida pelo patch de 11 de junho e recomenda-se que os clientes bloqueiem o acesso público RDP de entrada aos servidores MOVEit Transfer e limitem o acesso de saída apenas a endpoints confiáveis conhecidos.
“Embora esta não seja a primeira vez que vimos um fornecedor tomar medidas para alertar e proteger os clientes antes do reconhecimento público de uma vulnerabilidade, poderia ter sido uma medida arriscada. Um indivíduo desconhecido avisou o watchTowr sobre a vulnerabilidade bem antes dela. tornou-se de conhecimento público se esse indivíduo tivesse intenções maliciosas, essa informação poderia facilmente ter sido fornecida a grupos de atores ameaçadores para desenvolver uma exploração e abusar da falha”, observou Caveza.
Outra falha crítica, rastreada como CVE-2024-5805 , no MOVEit Gateway também foi divulgada pela Progress na terça-feira e afeta apenas o MOVEit Gateway 2024.0.0. Essa falha também tem uma pontuação CVSS de 9,1 e pode permitir o desvio de autenticação.