Een onlangs onthulde kritieke beveiligingsfout die gevolgen heeft voor Progress Software MOVEit Transfer ziet al misbruikpogingen in het wild, kort nadat de details van de bug openbaar werden gemaakt.
De kwetsbaarheid, bijgehouden als CVE-2024-5806 (CVSS-score: 9.1), betreft een authenticatie-bypass die gevolgen heeft voor de volgende versies:
- Van 2023.0.0 tot 2023.0.11
- Van 2023.1.0 tot 2023.1.6, en
- Van 2024.0.0 tot 2024.0.2
“Onjuiste authenticatiekwetsbaarheid in Progress MOVEit Transfer (SFTP-module) kan leiden tot Authentication Bypass”, aldus het bedrijf in een dinsdag uitgebracht advies.
Progress heeft ook een andere kritieke SFTP-gerelateerde authenticatie-bypass-kwetsbaarheid aangepakt (CVE-2024-5805, CVSS-score: 9.1) die van invloed is op MOVEit Gateway versie 2024.0.0.
Succesvol misbruik van de fouten zou aanvallers in staat kunnen stellen de SFTP-authenticatie te omzeilen en toegang te krijgen tot MOVEit Transfer- en Gateway-systemen.
watchTowr Labs heeft sindsdien aanvullende technische details over CVE-2024-5806 gepubliceerd, waarbij beveiligingsonderzoekers Aliz Hammond en Sina Kheirkhah opmerkten dat het als wapen kan worden gebruikt om zich voor te doen als een gebruiker op de server.
Het cyberbeveiligingsbedrijf beschreef de fout verder als twee afzonderlijke kwetsbaarheden, één in Progress MOVEit en de andere in de IPWorks SSH-bibliotheek.
“Hoewel de meer verwoestende kwetsbaarheid, de mogelijkheid om zich voor te doen als willekeurige gebruikers, uniek is voor MOVEit, zal de minder impactvolle (maar nog steeds zeer reële) kwetsbaarheid voor gedwongen authenticatie waarschijnlijk alle applicaties treffen die de IPWorks SSH-server gebruiken”, aldus de onderzoekers.
Progress Software zei dat de tekortkoming in de component van derden “het risico van het oorspronkelijke probleem vergroot” als deze niet wordt gepatcht, en dringt er bij klanten op aan de onderstaande twee stappen te volgen:
- Openbare inkomende RDP-toegang tot MOVEit Transfer-server(s) blokkeren
- Beperk uitgaande toegang tot alleen bekende vertrouwde eindpunten van MOVEit Transfer-server(s)
Volgens Rapid7 zijn er drie voorwaarden voor het gebruik van CVE-2024-5806: aanvallers moeten kennis hebben van een bestaande gebruikersnaam, het doelaccount kan zich op afstand authenticeren en de SFTP-service is publiekelijk toegankelijk via internet.
Op 25 juni blijkt uit gegevens verzameld door Censys dat er ongeveer 2.700 MOVEit Transfer-instanties online zijn, waarvan de meeste zich in de VS, Groot-Brittannië, Duitsland, Nederland, Canada, Zwitserland, Australië, Frankrijk, Ierland en Denemarken bevinden.
Nu een ander kritiek probleem in MOVEit Transfer vorig jaar op grote schaal werd misbruikt tijdens een golf van Cl0p-ransomware-aanvallen (CVE-2023-34362, CVSS-score: 9,8), is het essentieel dat gebruikers snel actie ondernemen om te updaten naar de nieuwste versies.
De ontwikkeling komt op het moment dat de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) onthulde dat zijn Chemical Security Assessment Tool (CSAT) eerder dit jaar het doelwit was van een onbekende bedreigingsacteur door misbruik te maken van beveiligingsfouten in het Ivanti Connect Secure (ICS)-apparaat. CVE-2023-46805, CVE-2024-21887 en CVE-2024-21893).
“Deze inbraak kan hebben geleid tot mogelijke ongeautoriseerde toegang tot Top-Screen-enquêtes, Security Vulnerability Assessments, Site Security Plans, Personnel Surety Program (PSP)-inzendingen en CSAT-gebruikersaccounts”, aldus het agentschap. Er is geen bewijs gevonden van gegevensexfiltratie.