ai30logo500whitecroped

هیچ محصولی در سبد خرید نیست.

ورود
ai30logo500whitecroped

هیچ محصولی در سبد خرید نیست.

هکرها باگ جدید MOVEit Transfer را هدف قرار می دهند

بازیگران تهدید در حال حاضر تلاش می‌کنند از یک نقص دور زدن احراز هویت حیاتی در Progress MOVEit Transfer سوء استفاده کنند، کمتر از یک روز پس از افشای فروشنده.
MOVEit Transfer یک راه حل انتقال فایل مدیریت شده (MFT) است که در محیط های سازمانی برای انتقال ایمن فایل ها بین شرکای تجاری و مشتریان با استفاده از پروتکل های SFTP، SCP و HTTP استفاده می شود.
مشکل امنیتی جدید شناسه CVE-2024-5806 را دریافت کرد و به مهاجمان اجازه می دهد تا فرآیند احراز هویت را در ماژول Secure File Transfer Protocol (SFTP) که مسئول عملیات انتقال فایل از طریق SSH است، دور بزنند.
مهاجمی که از این نقص استفاده می‌کند می‌تواند به داده‌های حساس ذخیره شده در سرور انتقال MOVEit دسترسی پیدا کند، فایل‌ها را آپلود، دانلود، حذف یا تغییر دهد، و انتقال فایل‌ها را رهگیری یا دستکاری کند.
کد بهره برداری در دسترس است
پلتفرم نظارت بر تهدید Shadowserver Foundation، مدت کوتاهی پس از انتشار بولتن Progress در CVE-2024-5806، گزارش داد که شاهد تلاش‌هایی برای بهره‌برداری بوده است، بنابراین هکرها در حال حاضر به نقاط پایانی آسیب‌پذیر حمله می‌کنند.

اسکن های شبکه توسط Censys نشان می دهد که در حال حاضر حدود 2700 نمونه MOVEit Transfer در معرض اینترنت وجود دارد که اکثر آنها در ایالات متحده، بریتانیا، آلمان، کانادا و هلند قرار دارند.

نمونه های انتقال MOVEit در معرض اینترنت منبع: Censys
با این حال، درصد افرادی که به‌روزرسانی‌های امنیتی و/یا کاهش‌های پیشنهادی برای نقص شخص ثالث را اعمال نکرده‌اند، ناشناخته است.
گزارش ShadowServer از تلاش‌های بهره‌برداری پس از آن منتشر شد که شرکت امنیتی تهاجمی WatchTowr جزئیات فنی را درباره آسیب‌پذیری، نحوه سوء استفاده از آن، و آنچه مدافعان باید در گزارش‌ها برای بررسی نشانه‌های بهره‌برداری جستجو کنند، منتشر کرد.
WatchTowr همچنین یک تجزیه و تحلیل فنی از اینکه چگونه مهاجمان می‌توانند مسیرهای کلید عمومی SSH را دستکاری کنند تا سرور را مجبور به احراز هویت با استفاده از مسیرهای کنترل شده توسط مهاجم کنند، و به طور بالقوه هش‌های Net-NTLMv2 را افشا می‌کند، ارائه می‌کند.
علاوه بر این، کد سوء استفاده اثبات مفهوم برای CVE-2024-5806 در حال حاضر از طریق watchTowr و محقق آسیب‌پذیری سینا خیرخواه به صورت عمومی در دسترس است.
با انتشار این اطلاعات، حملات مطمئناً در روزهای آینده سرعت بیشتری خواهند گرفت، بنابراین برای سازمان‌ها بسیار مهم است که به‌روزرسانی‌ها و اقدامات کاهشی امنیتی مرتبط را در اسرع وقت اعمال کنند.
وصله‌های منتشر شده برای CVE-2024-5806
همانطور که Progress در بولتن امنیتی توضیح داده شد، CVE-2024-5806 بر نسخه های محصول زیر تأثیر می گذارد:
2023.0.0 قبل از 2023.0.11
2023.1.0 قبل از 2023.1.6
2024.0.0 قبل از 2024.0.2
اصلاحات در MOVEit Transfer 2023.0.11، 2023.1.6 و 2024.0.2 در دسترس است که در پورتال Progress Community موجود است.
مشتریان بدون قرارداد تعمیر و نگهداری فعلی باید فوراً با تیم Renewals یا نماینده شریک Progress تماس بگیرند تا مشکل را حل کنند.
مشتریان MOVEit Cloud نیازی به انجام هیچ گونه اقدامی برای کاهش نقص حیاتی ندارند، زیرا وصله ها قبلاً به طور خودکار مستقر شده اند.
علاوه بر خود نقص، Progress خاطرنشان می‌کند که آسیب‌پذیری جداگانه‌ای را در یک مؤلفه شخص ثالث مورد استفاده در MOVEit Transfer کشف کرده است که خطرات مرتبط با CVE-2024-5806 را افزایش می‌دهد.
برای کاهش این نقص تا زمانی که یک تعمیر از طرف فروشنده شخص ثالث در دسترس قرار گیرد، به مدیران سیستم توصیه می شود دسترسی پروتکل دسکتاپ از راه دور (RDP) را به سرورهای انتقال MOVEit مسدود کنند و اتصالات خروجی را به نقاط پایانی شناخته شده/معتمد محدود کنند.
Progress همچنین یک بولتن امنیتی در مورد یک مشکل بای پس احراز هویت مشابه، CVE-2024-5805 منتشر کرد که بر MOVEit Gateway 2024.0.0 تأثیر می گذارد.
MOVEit به طور گسترده در محیط سازمانی مورد استفاده قرار می‌گیرد و هکرها آسیب‌پذیری‌ها و سوء استفاده‌های موجود در محصول را زیر نظر دارند، به‌ویژه که باج‌افزار Clop سال گذشته یک روز صفر به هزاران سازمان نفوذ کرده و متعاقباً اخاذی کرد.

مطالب مشابه
نظرات بسته شده است.