После того как сотни компаний стали жертвами атак на 0-day уязвимость в MOVEit Transfer, разработчик этого продукта для управления передачей файлов, компания Progress Software, пообещал регулярно выпускать пакеты обновлений, чтобы обеспечить «предсказуемый, простой и прозрачный процесс исправления ошибок». В первый же такой пакет вошли патчи для трех уязвимостей, включая критическую.
0-day в MOVEit Transfer
Напомню, что все началось с 0-day уязвимости (CVE-2023-34362) в MOVEit Transfer, которую обнаружили в начале июня 2023 года. Проблеме оказались подвержены все версии MOVEit Transfer, и сообщалось, что атаки на них начались еще 27 мая 2023 года.
Злоумышленники использовали эту уязвимость, чтобы разместить на уязвимых серверах кастомные веб-шеллы, что позволило им получить список файлов, хранящихся на сервере, скачать файлы, а также похитить учетные данные и секреты учетных записей Azure Blob Storage, включая параметры AzureBlobStorageAccount, AzureBlobKey и AzureBlobContainer.
В итоге аналитики Microsoft связали массовые атаки с вымогательской хак-группой Clop (она же Lace Tempest, TA505, FIN11 или DEV-0950). И вскоре хакеры начали выдвигать требования, вымогая выкупы у пострадавших компаний.
На данный момент, по данным экспертов компании Emsisoft, количество компаний-жертв превышает 230: пострадали не менее 20 школ в США и десятки университетов по всему миру. Суммарно утечки затронули информацию о 17-20 млн человек.
Пакеты обновлений для продуктов Progress Software будут распространяться на MOVEit, включая MOVEit Transfer и MOVEit Automation. Первый из них уже вышел и содержит исправления для критической SQL-инъекции, а также двух других менее серьезных уязвимостей.
Критическая проблема получила идентификатор CVE-2023-36934 и была обнаружена специалистами Trend Micro Zero Day Initiative. Разработчики сообщают, что она может использоваться без аутентификации, позволяя атакующему получить несанкционированный доступ к БД MOVEit Transfer.
«Злоумышленник может отправить специально подготовленную полезную нагрузку на конечную точку приложения MOVEit Transfer, что может привести к изменению и раскрытию содержимого базы данных MOVEit», — сообщается в официальном бюллетене безопасности.
В настоящее время сообщений об активном использовании этой проблемы хакерами не поступало.
Вторая уязвимость так же представляет собой SQL-инъекцию и отслеживается под идентификатором CVE-2023-36932. Эту проблему злоумышленник может использовать после аутентификации.
Обе SQL-инъекции затрагивают несколько версий MOVEit Transfer, включая 12.1.10 и старше, 13.0.8 и старше, 13.1.6 и старше, 14.0.6 и старше, 14.1.7 и старше, а также 15.0.3 и старше.
Третьей проблемой, которые устранили патчи в этом месяце, стала уязвимость CVE-2023-36933, которая позволяет злоумышленникам спонтанно завершить работу программы.
Этот баг представляет угрозу для MOVEit Transfer версий 13.0.8 и старше, 13.1.6 и старше, 14.0.6 и старше, 14.1.7 и старше, а также 15.0.3 и старше.
Теперь пользователям MOVEit Transfer рекомендуется как можно скорее выполнить обновление до версий, перечисленных в таблице ниже, в которых уязвимости были устранены.
| Уязвимые версии | Исправленная версия | Документация | Примечания к релизу |
| MOVEit Transfer 2023.0.x (15.0.x) | MOVEit Transfer 2023.0.4 (15.0.4) | MOVEit 2023 Upgrade | MOVEit Transfer 2023.0.4 |
| MOVEit Transfer 2022.1.x (14.1.x) | MOVEit Transfer 2022.1.8 (14.1.8) | MOVEit 2022 Upgrade | MOVEit Transfer 2022.1.8 |
| MOVEit Transfer 2022.0.x (14.0.x) | MOVEit Transfer 2022.0.7 (14.0.7) | MOVEit 2022 Upgrade | MOVEit Transfer 2022.0.7 |
| MOVEit Transfer 2021.1.x (13.1.x) | MOVEit Transfer 2021.1.7 (13.1.7) | MOVEit 2021 Upgrade | MOVEit Transfer 2021.1.7 |
| MOVEit Transfer 2021.0.x (13.0.x) | MOVEit Transfer 2021.0.9 (13.0.9) | MOVEit 2021 Upgrade | MOVEit Transfer 2021.0.9 |
| MOVEit Transfer 2020.1.6+ (12.1.6) | Доступен специальный Service Pack | MOVEit Transfer 2020.1 SP | MOVEit Transfer 2020.1.7 |
| MOVEit Transfer 2020.0.x+ (12.0.x) | Обновитесь до поддерживаемой версии | Руководство по обновлению/миграции | N/A |
