Trong ngữ cảnh: Ứng dụng chuyển tệp được quản lý cấp doanh nghiệp của Progress Software, Moveit, đã có một tháng tồi tệ. Cách đây chưa đầy vài tuần, các tác nhân đe dọa và nhóm ransomware có liên quan đến Nga đã tích cực khai thác hai lỗ hổng, ảnh hưởng đến khách hàng tư nhân, doanh nghiệp và chính phủ.
Vấn đề mới nhất của Progress Software, được theo dõi là CVE-2023-35708, là một lỗ hổng SQL injection mà tin tặc có thể khai thác để giành được các đặc quyền cấp cao và truy cập trái phép vào cơ sở dữ liệu của Moveit. Trong trường hợp này, kẻ tấn công có thể gửi tải trọng được tạo thủ công tới điểm cuối của ứng dụng Moveit Transfer, cung cấp cho chúng quyền truy cập trái phép vào nội dung cơ sở dữ liệu của nó.
Lỗ hổng bảo mật mới liên quan đến hai sự cố tương tự đã được báo cáo trước đây, CVE-2023-34362 Và CVE-2023-35036. Theo lời khuyên của Progress Software, mọi phiên bản được phát hành trước 2021.0.8 (13.0.8), 2021.1.6 (13.1.6), 2022.0.6 (14.0.6), 2022.1.7 (14.1.7), 2023.0.3 ( 15.0.3) có nguy cơ.
ICYMI: @CISAgov & @FBI đang hợp tác chặt chẽ để giải quyết các rủi ro do #Di chuyển nó dễ bị tổn thương & thúc giục các tổ chức áp dụng các biện pháp giảm thiểu chi tiết trong tư vấn chung của chúng ta: https://t.co/4sCMsJ4mj9. Bất kỳ tổ chức nào quan sát thấy hoạt động bất thường nên thông báo ngay cho CISA hoặc FBI để chúng ta có thể hỗ trợ. pic.twitter.com/Exs4W4eeWs
– Jen Easterlyð¡ï¸Â (@CISAJen) Ngày 16 tháng 6 năm 2023
Số lượng máy chủ và người dùng Moveit hiện tại không đáng kể. Theo một báo cáo từ censys.io, hơn 3.000 máy chủ đang chạy giải pháp truyền tệp được quản lý. Hơn 30% máy chủ chạy phần mềm này thuộc ngành dịch vụ tài chính. Hơn 15% khách hàng đến từ ngành chăm sóc sức khỏe, gần 9% làm việc trong lĩnh vực công nghệ thông tin và hơn 7,5% đến từ các cơ quan chính phủ và quân đội. Hai mươi chín phần trăm các tổ chức được quan sát trong báo cáo sử dụng hơn 10.000 cá nhân.
Progress Software khuyến nghị người dùng và máy chủ nên vá sản phẩm và giảm thiểu các lỗ hổng ngay lập tức. Thông báo cung cấp một số đường dẫn khắc phục cho người dùng và quản trị viên để đảm bảo họ không còn dễ bị khai thác đã xác định. Người dùng chưa áp dụng bản vá tháng 5 năm 2023 nên làm theo hướng dẫn các bước giảm thiểu trong bài viết về Lỗ hổng nghiêm trọng của Moveit Transfer. Trang đó chứa các bản vá mới nhất, bao gồm bản sửa lỗi cho lỗ hổng ngày 9 tháng 6 (CVE-2023-35036) và lỗ hổng ban đầu từ ngày 31 tháng 5 (CVE-2023-34362). Sau khi hoàn tất, hãy chuyển sang Các bước Giảm thiểu Tức thì và áp dụng bản vá ngày 15 tháng 6 như đã vạch ra. Sau đó, bạn sẽ được cập nhật các lỗ hổng được công bố vào ngày 31 tháng 5, ngày 9 tháng 6 và ngày 15 tháng 6.
Các nhà nghiên cứu tin rằng băng nhóm ransomware Clop đã biết về lỗ hổng này từ năm 2021. Theo Jen Easterly, Giám đốc Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng, các cuộc tấn công cho đến nay chủ yếu mang tính chất cơ hội và không có tác động đáng kể đến các cơ quan dân sự liên bang. Easterly cũng cho biết, “…chúng ta không biết về các diễn viên Clop đe dọa tống tiền hoặc tiết lộ bất kỳ dữ liệu nào bị đánh cắp từ các cơ quan chính phủ Hoa Kỳ.”
Tín dụng hình ảnh: censys.io