In het kielzog van een verwoestende kwetsbaarheid vorig jaar - een kwetsbaarheid die meer dan 2300 organisaties trof, waaronder het Amerikaanse ministerie van Energie, Shell en British Airways - is er nu een nieuwe kwetsbaarheid.De beheerde bestandsoverdrachtdienst MOVEit Transfer heeft onlangs twee nieuwe ernstige kwetsbaarheden in zijn software bekendgemaakt.
Wat zijn deze nieuwe kwetsbaarheden, hoe ernstig zijn ze en wat moeten MOVEit-klanten doen om ze te verhelpen? Lees verder om meer te weten te komen.
Inhoudsopgave
Veilige bestandsoverdracht in de cloud
MASV is een ISO 27001, SOC 2 en TPN-gecertificeerde (Gold Shield status) beveiligde bestandsoverdrachtservice.
Wat zijn de huidige MOVEit-kwetsbaarheden?
De nieuwe kwetsbaarhedendie bekend staan als CVE-2024-5805 en CVE-2024-5806, stellen hackers in staat om de authenticatiebeveiliging van MOVEit, eigendom van Progress Software, te omzeilen:
- CVE-2024-5805: Authenticatiekwetsbaarheid in Progress MOVEit Gateway (SFTP-module) die van invloed is op MOVEit Gateway 2024.0.0.
- CVE-2024-5806: Authenticatiekwetsbaarheid in de Progress MOVEit Transfer (SFTP-module) die van invloed is op versies 2023.0.0 vóór 2023.0.11, 2023.1.0 vóór 2023.1.6 en 2024.0.0 vóór 2024.0.2.
Met MOVEit kunnen klanten verschillende protocollen voor bestandsoverdracht gebruiken, waaronder SCP, HTTP en SFTP. Deze kwetsbaarheden zijn alleen van invloed op de SFTP-module.
Door de kwetsbaarheden kunnen hackers op verschillende manieren inbreken in MOVEit-systemen. Beveiligingsbedrijf watchTowr beschreef twee mogelijke aanvalsvectoren die voortkomen uit CVE-2024-5806:
- De identiteit van een vertrouwde gebruiker aannemen: Gebruik van een null string (een string zonder waarde) als publieke encryptiesleutel tijdens de authenticatie, waardoor hackers zich kunnen aanmelden als vertrouwde gebruikers. Van de twee wordt dit als de ernstigste kwetsbaarheid beschouwd.
- Gedwongen authenticatie: Manipulatie van publieke sleutelpaden van Secure Shell (SSH) om authenticatie af te dwingen met een kwaadaardige SMB-server en geldige gebruikersnaam.
💡De MOVEit-kwetsbaarheid van vorig jaar (CVE-2023-34362) maakte gebruik van een zwakke plek waardoor hackers verhoogde rechten en ongeautoriseerde toegang tot de gebruikersomgeving kregen. Het trof zowel on-premises als cloud-gebaseerde systemen. De Cl0p ransomware-as-a-service bende maakte misbruik van de kwetsbaarheid door klantgegevens te stelen.
Hoe ernstig zijn de huidige MOVEit-kwetsbaarheden?
Ze zijn zeer ernstig: beide kwetsbaarheden kregen een score van 9.1/10 (kritiek) op het Common Vulnerability Scoring System (CVSS).
En Ars Technica beschreef CVE-2024-5806 als een kwetsbaarheid die "grote delen van het internet blootstelt aan het risico van verwoestende hacks", en voegde eraan toe dat hackers al enkele uren na de bekendmaking waren begonnen met het proberen te misbruiken van de kwetsbaarheid.
Na het uitvoeren van een internetscan heeft cyberbeveiligingsbedrijf Censys zegt dat het 2.700 MOVEit transfer instanties online heeft gedetecteerd, waarvan de meeste in de VS.
"We hebben het probleem met de MOVEit Transfer opgelost en het Progress-MOVEit-team raadt ten zeerste aan om een upgrade uit te voeren naar de nieuwste versie die in de onderstaande tabel wordt vermeld", aldus Progress. in een verklaring op de website van de community (zie informatie over versie-upgrades in de volgende sectie).
Maar om het nog erger te maken, zegt Progress dat een andere recent ontdekte (niet openbaar gemaakte) kwetsbaarheid in een component van derden het risico van CVE-2024-5806 nog verder verhoogt.
"Een nieuw ontdekte kwetsbaarheid in een component van derden die wordt gebruikt in MOVEit Transfer verhoogt het risico van het hierboven genoemde oorspronkelijke probleem als het niet wordt gepatcht. Hoewel de patch die op 11 juni door Progress is gedistribueerd met succes het probleem verhelpt dat werd geïdentificeerd in CVE-2024-5806, introduceert deze nieuw geopenbaarde kwetsbaarheid van derden nieuwe risico's."
Heeft MOVEit het probleem aangepakt?
Progress Software heeft hotfixes geplaatst voor CVE-2024-5806 met versies 2023.0.11, 2023.1.6en 2024.0.2. CVE-2024-5805 werd aangepakt met versie 2024.0.1.
Als u een MOVEit-klant bent, is het belangrijk om uw software zo snel mogelijk bij te werken naar een veilige versie.. Als u niet zeker weet welke versie van de MOVEit-software u hebt, kunt u dit controleren met behulp van deze link.
Premium cloudinfrastructuur
MASV draait op een hoogwaardige en veilige AWS-cloudinfrastructuur.
Wat moeten klanten van MOVEit doen?
Er zijn stappen die MOVEit-klanten kunnen nemen om ervoor te zorgen dat hun gegevens veilig blijven.
- Taak 1 voor elke systeembeheerder is om alle hotfixes die door Progress worden geleverd meteen toe te passen, samen met het proactief monitoren van uw systeem op indicatoren van ongeautoriseerde toegang (vooral de laatste tijd). Helaas vereist dit soort patches dat het hele systeem tijdelijk offline moet, wat natuurlijk een enorme aanslag op de productiviteit kan zijn.
- Bedrijven kunnen ook software implementeren zoals Fail2Ban, een daemon voor inbraakpreventie die bescherming biedt tegen brute force aanvallen door IP's te verbannen die meerdere mislukte authenticatiepogingen genereren.
- Overweeg de implementatie van een Zero Trust identiteits- en toegangsbeheert (IAM) framework. Hoewel Zero Trust-oplossingen enige wrijving bij medewerkers kunnen veroorzaken, de prestaties van applicaties kunnen verminderen en relatief duur zijn, kunnen tools van leveranciers zoals Cloudflare en Zscaler de gevolgen van dit soort kwetsbaarheid aanzienlijk beperken.
- Eindelijk, om dit soort situaties in de eerste plaats te voorkomen, kunt u software voor bestandsoverdracht gebruiken waarvoor u geen inkomende poorten hoeft te openen, en als u dat toch moet doen, laat die poorten dan niet langer openstaan dan absoluut noodzakelijk is.. MOVEit eist van zijn klanten dat zij open poorten om zijn software te laten werken. Maar hackers kunnen poortscantools gebruiken om snel te bepalen welke poorten een bedrijf heeft opengelaten en of die poorten worden gebruikt door een MOVEit-instantie (of andere software) en vervolgens proberen hun weg naar binnen te forceren.
Veilig bestanden verzenden - zonder poorten te openen - met MASV
MASV Voor bestandsoverdracht hoeven geen nieuwe inkomende poorten te worden geopend of poorten te worden doorgestuurd, waardoor onze oplossing voor bestandsoverdracht inherent veiliger is dan services als MOVEit, GoAnywhere en Aspera (de laatste twee werden vorig jaar ook getroffen door kwetsbaarheden):
- De MASV bestandsoverdrachtservice is volledig webgebaseerd; alle acties, zoals uploaden en downloaden, worden door de klant geïnitieerd en geverifieerd door een cloudserver. Dit betekent dat gebruikers zichzelf niet in gevaar hoeven te brengen door inkomende poorten te openen.
- MASV's Opslag gateway Deze functie, waarmee MASV-gebruikers rechtstreeks vanuit MASV data kunnen opnemen in gedeelde opslagapparaten op het netwerk, maakt gebruik van WebSockets als een veilige communicatietunnel. Gebruikers draaien Storage Gateway op hun opslagapparaat, authenticeren zich via een MASV cloud server en krijgen dan een beveiligd communicatiekanaal met WebSockets zonder dat de gebruiker inkomende poorten hoeft te openen. En als een gebruiker zijn Storage Gateway loskoppelt van MASV, heeft niemand anders toegang tot dat kanaal zonder hetzelfde authenticatieproces te doorlopen.
Bovendien, omdat MASV cloudgebaseerdGebruikers hoeven mogelijke problemen niet zelf te ontdekken en te verhelpen. Cloud-gebaseerde oplossingen voor bestandsoverdracht zoals MASV beheren hun eigen infrastructuur en kunnen kwetsbaarheden voor alle gebruikers binnen enkele minuten verhelpen - vrijwel zonder onderbreking.
U kunt meer te weten komen over MASV's uitgebreide beveiligingsbeleid hier.
Aanmelden voor MASV gratis en ervaar de ultieme veilige bestandsoverdracht.
MASV Bestandsoverdracht
Profiteer van 20GB gratis gebruik met de snelste en veiligste service voor het overzetten van grote bestanden: MASV.