Hackers estão explorando ativamente uma vulnerabilidade zero-day no software de transferência de arquivos MOVEit Transfer para roubar dados de organizações.
O MOVEit Transfer é uma solução de transferência de arquivos gerenciados (MFT) desenvolvida pela Ipswitch, uma subsidiária da Progress Software Corporation baseada nos EUA, que permite que a empresa transfira arquivos com segurança entre parceiros comerciais e clientes usando uploads SFTP, SCP e baseados em HTTP.
A Progress MOVEit Transfer é oferecida como uma solução local gerenciada pelo cliente e uma plataforma SaaS em nuvem gerenciada pelo desenvolvedor.
O BleepingComputer descobriu que atores ameaçadores têm explorado um zero-day no software MOVEit MFT para realizar o download em massa de dados de organizações.
Não está claro quando ocorreu a exploração e quais atores ameaçadores estão por trás dos ataques, mas o BleepingComputer foi informado de que inúmeras organizações foram violadas e dados foram roubados.
Ontem, a Progress lançou um aviso de segurança alertando os clientes sobre uma vulnerabilidade "Crítica" no MOVEit MFT, oferecendo mitigação até que os patches sejam instalados.
Para evitar a exploração, os desenvolvedores alertam os administradores para bloquear o tráfego externo nas portas 80 e 443 no servidor MOVEit Transfer.
A Progress adverte que bloquear essas portas impedirá o acesso externo à interface do usuário da web, impedirá que algumas tarefas de automação do MOVEit funcionem, bloqueará APIs e impedirá que o plug-in Outlook MOVEit Transfer funcione.
No entanto, os protocolos SFTP e FTP/s podem continuar sendo usados para transferir arquivos.
Os desenvolvedores também alertam os administradores para verificar a pasta 'c: \ MOVEit Transfer \ wwwroot\' em busca de arquivos inesperados, incluindo backups ou downloads de arquivos grandes.
Com base nas informações aprendidas pelo BleepingComputer, grandes downloads ou backups inesperados provavelmente são indicadores de que os atores ameaçadores roubaram dados ou estão no processo de fazê-lo.
A Rapid7, empresa de cibersegurança, diz que a falha do MOVEit Transfer é uma vulnerabilidade de injeção SQL que leva à execução remota de código e atualmente não possui um CVE atribuído a ela.
A Rapid7 diz que existem 2.500 servidores MOVEit Transfer expostos, a maioria localizada nos EUA, e que a mesma webshell foi encontrada em todos os dispositivos explorados.
Os desenvolvedores alertam os administradores a verificar a pasta 'c: \ MOVEit Transfer \ wwwroot\' em busca de arquivos inesperados, incluindo backups ou downloads de arquivos grandes.
Com base nas informações aprendidas pelo BleepingComputer, grandes downloads ou backups inesperados provavelmente são indicadores de que os atores ameaçadores roubaram dados ou estão no processo de fazê-lo.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...