SK-CERT Bezpečnostné varovanie V20230602-01

2. júna 2023

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP:CLEAR
CVSS Skóre	9.0

Identifikátor

MOVEit Transfer – Zero-day kritická bezpečnostná zraniteľnosť

Popis

Spoločnosť Progress Software Corporation vydala bezpečnostné aktualizácie na svoj produkt MOVEit Transfer, ktoré opravujú zero-day kritickú bezpečnostnú zraniteľnosť.
Zraniteľnosť spočíva v nedostatočnom overovaní používateľských vstupov a nedostatočnej implementácii bezpečnostných mechanizmov a vzdialený neautentifikovaný útočník by ju mohol zneužiť na realizáciu SQL injekcie a následne spôsobiť úplné narušenie dôvernosti, integrity a dostupnosti systému.
Zraniteľnosť je aktívne zneužívaná útočníkmi.

Dátum prvého zverejnenia varovania

31.05.2023 (posledná aktualizácia 02.06.2023)

CVE

–

IOC

Skript slúžiaci na umiestnenie webshell-u:
C:\Windows\TEMP\[random]\[random].cmdline

HTTP POST požiadavky:
POST /moveitisapi/moveitisapi.dll
POST /guestaccess.aspx
POST /api/v1/folders/[random]/files

IP adresy riadiaceho servera útočníka:
5.252.189[.]0/24
5.252.190[.]0/24
5.252.191[.]0/24
198.27.75[.]110
209.222.103[.]170
84.234.96[.]104

Webshell:
human2.aspx

SHA256 hashe webshell-ov vytvorených útočníkom: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Zasiahnuté systémy

MOVEit Transfer 2023.0.0 – verzie staršie ako 2023.0.1
MOVEit Transfer 2022.1.x – verzie staršie ako 2022.1.5
MOVEit Transfer 2022.0.x – verzie staršie ako 2022.0.4
MOVEit Transfer 2021.1.x – verzie staršie ako 2021.1.4
MOVEit Transfer 2021.0.x – verzie staršie ako 2021.0.6

Následky

Neoprávnený prístup do systému
Úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania

Administrátorom odporúčame postupovať podľa odporúčaní výrobcu: izolovať prostredie MOVEit Transfer, vykonať audit zasiahnutého systému s cieľom identifikácie aktivity útočníka, aktualizovať zasiahnuté systémy a zablokovať a priebežne monitorovať Vašu infraštruktúru na prítomnosť indikátorov kompromitácie uvedených v časti IOC.

Zdroje

https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
https://www.trustedsec.com/blog/critical-vulnerability-in-progress-moveit-transfer-technical-analysis-and-recommendations/
https://www.bleepingcomputer.com/news/security/new-moveit-transfer-zero-day-mass-exploited-in-data-theft-attacks/

« Späť na zoznam

SK-CERT Bezpečnostné varovanie V20230602-01

SK-CERT Bezpečnostné varovanie V20240419-04

SK-CERT Bezpečnostné varovanie V20240419-03

SK-CERT Bezpečnostné varovanie V20240419-02