Af Eskil Sørensen, 19/06/23
Progress har advaret sin MOVEit Transfer-kunder om at begrænse al HTTP-adgang til deres miljøer, efter at der er blevet delt oplysninger om en ny SQL-injektion (SQLi)-sårbarhed.
Det skriver Bleeping Computer med henvisning til en opdatering på Progress’ hjemmeside. Heri hedder det, at udnyttelse af sårbarheden kan føre til ’eskalerede privilegier og potentiel uautoriseret adgang til miljøet.’
En patch, der adresserer denne nye fejl, er endnu ikke tilgængelig, men er ifølge Progress i øjeblikket ved at blive testet og vil blive frigivet ’om kort tid’.
Sårbarheden har id’et CVE-2023-35708, men er endnu ikke blevet scoret efter CVSS-skalaen
Indtil sikkerhedsopdateringer frigives for berørte MOVEit Transfer-versioner, anbefaler Progress som en midlertidig løsning ’på det kraftigste’ at ændre firewall-reglerne mhp. at undgå HTTP- og HTTPs-trafik til MOVEit Transfer på porte 80 og 443.
I forlængelse af dette skriver Progress, at HTTPs-trafik for MOVEit Cloud i lyset af den nyligt offentliggjorte sårbarhed er fjernet og alle MOVEit Transfer-kunder bedes om straks at fjerne deres HTTP- og HTTPs-trafik for at beskytte deres miljøer, indtil patchen bliver færdiggjort.
Bleeping Computer har angiveligt været i kontakt med en researcher, der har delt information på Twitter om det, der ligner en exploit-kode til en ny MOVEit transfer 0-dagsfejl. Researcheren skriver, at den nye sårbarhed har sin egen angrebssti i forhold til den sårbarhed, der blev fundet i slutningen af maj.
Specifik vejledning i håndtering af den nye sårbarhed findes på Progress’ hjemmeside.
Links:
https://www.bleepingcomputer.com/news/security/moveit-transfer-customers-warned-of-new-flaw-as-poc-info-surfaces/
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-15June2023
https://nakedsecurity.sophos.com/2023/06/15/moveit-mayhem-3-disable-http-and-https-traffic-immediately/