Hackers atacam MOVEit Transfer
27 de Junho de 2024

Atuantes de ameaças já estão tentando explorar uma falha crítica de bypass de autenticação no Progress MOVEit Transfer, menos de um dia após o fornecedor divulgá-la.

O MOVEit Transfer é uma solução de transferência de arquivos gerenciada (MFT) usada em ambientes empresariais para transferir arquivos com segurança entre parceiros de negócios e clientes usando os protocolos SFTP, SCP e HTTP.

A nova falha de segurança recebeu o identificador CVE-2024-5806 e permite que atacantes façam bypass no processo de autenticação no módulo Secure File Transfer Protocol (SFTP), responsável pelas operações de transferência de arquivos via SSH.

Um atacante explorando essa falha poderia acessar dados sensíveis armazenados no servidor MOVEit Transfer, fazer upload, download, deletar ou modificar arquivos e interceptar ou adulterar transferências de arquivos.

A plataforma de monitoramento de ameaças Shadowserver Foundation reportou tentativas de exploração pouco depois de a Progress publicar o boletim sobre o CVE-2024-5806 , indicando que hackers já estão atacando endpoints vulneráveis.

Varreduras de rede feitas pela Censys indicam que atualmente existem cerca de 2.700 instâncias do MOVEit Transfer expostas na internet, a maioria localizada nos EUA, Reino Unido, Alemanha, Canadá e Holanda.

No entanto, é desconhecido o percentual dessas instâncias que não aplicaram as atualizações de segurança e/ou as mitigações propostas para a falha de terceiros.

O relatório de tentativas de exploração feito pela ShadowServer vem depois que a empresa de segurança ofensiva watchTowr publicou detalhes técnicos sobre a vulnerabilidade, como ela pode ser explorada e o que os defensores devem procurar nos logs para verificar sinais de exploração.

A watchTowr também fornece uma análise técnica de como os atacantes podem manipular caminhos de chave pública SSH para forçar o servidor a autenticar usando caminhos controlados pelo atacante, potencialmente expondo hashes Net-NTLMv2.

Além disso, código de exploração proof-of-concept para o CVE-2024-5806 já está publicamente disponível através da watchTowr e dos pesquisadores de vulnerabilidades Sina Kheirkhah e Aliz Hammond.

Com essas informações divulgadas, os ataques certamente ganharão ritmo nos próximos dias, tornando crucial para as organizações aplicarem as atualizações de segurança relacionadas e as mitigações o mais rápido possível.

Conforme explicado pela Progress no boletim de segurança, o CVE-2024-5806 impacta as seguintes versões do produto:

2023.0.0 antes de 2023.0.11
2023.1.0 antes de 2023.1.6
2024.0.0 antes de 2024.0.2

Correções foram disponibilizadas no MOVEit Transfer 2023.0.11, 2023.1.6 e 2024.0.2, acessíveis no portal da Comunidade Progress.

Clientes sem um acordo de manutenção vigente devem imediatamente contactar a equipe de Renovações ou o representante de parceiro da Progress para resolver a questão.

Clientes do MOVEit Cloud não precisam tomar nenhuma ação para mitigar a falha crítica, já que os patches foram automaticamente implantados.

Além da própria falha, a Progress observa que descobriu uma vulnerabilidade separada em um componente de terceiros usado no MOVEit Transfer, elevando os riscos associados ao CVE-2024-5806 .

Para mitigar essa falha até que uma correção do fornecedor de terceiros esteja disponível, administradores de sistema são aconselhados a bloquear o acesso ao Remote Desktop Protocol (RDP) nos servidores MOVEit Transfer e restringir conexões de saída para endpoints conhecidos/confiáveis.

A Progress também lançou um boletim de segurança sobre uma questão de bypass de autenticação semelhante, o CVE-2024-5805 , que impacta o MOVEit Gateway 2024.0.0.

O MOVEit é amplamente utilizado no ambiente empresarial e os hackers estão de olho em vulnerabilidades e exploits disponíveis no produto, especialmente desde que o ransomware Clop explorou um zero-day no ano passado para violar e, posteriormente, extorquir milhares de organizações.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...