Злоумышленники активно эксплуатируют уязвимость нулевого дня в программе MOVEit Transfer

MOVEit Transfer – это программное обеспечение для безопасной передачи файлов между партнерами и клиентами, разработанное Ipswitch, дочерней компанией американской Progress Software Corporation. Среди клиентов ПО такие именитые компании, как Chase, Disney, GEICO и MLB. А всего MOVEit Transfer используют 1,7 тысячи софтверных компаний и 3,5 миллиона разработчиков.

Вчера Progress Software выпустила предупреждение безопасности , в котором сообщила о “критической” уязвимости в MOVEit Transfer, способной привести к повышению привилегий и потенциальному несанкционированному доступу к среде. Сегодня стало известно, что данная уязвимость действительно была использована злоумышленниками для массового скачивания данных из баз организаций. Пока неизвестно, когда началась эксплуатация и кто конкретно стоит за этой атакой.

“Если вы являетесь клиентом MOVEit Transfer, то очень важно, чтобы вы немедленно предприняли действия, указанные ниже, чтобы помочь защитить вашу среду MOVEit Transfer, пока наша команда создаёт патч”, – говорится в предупреждении безопасности от Progress Software.

Поскольку патч ещё не доступен и находится на стадии тестирования, Progress Software предложила меры по смягчению последствий, которые администраторы MOVEit могут использовать для защиты своих установок. Для предотвращения злонамеренной эксплуатации уязвимости разработчики рекомендуют администраторам блокировать внешний трафик на порты 80 и 443 на сервере MOVEit.

Progress Software предупреждает, что блокировка этих портов приведёт к невозможности внешнего доступа к веб-интерфейсу, нарушению работы некоторых задач MOVEit Automation, блокировке API и отключению плагина Outlook MOVEit. Однако протоколы SFTP и FTP/s могут продолжать использоваться для передачи файлов.

Разработчики также советуют администраторам проверить папку “C:MOVEit Transferwwwroot” на наличие неожиданных файлов, включая резервные копии или большие файлы для выгрузки, так как они могут свидетельствовать о том, что злоумышленники украли данные или делают это прямо сейчас.

Никакой более подробной информации об уязвимости пока опубликовано не было. Однако на основании блокируемых портов и указанного места для проверки наличия подозрительных файлов можно предположить, что это уязвимость веб-интерфейса.

До выпуска патча организациям настоятельно рекомендуется последовать советам Progress Software или вовсе временно отключить среду MOVEit Transfer. Уже сейчас стоит обязательно провести тщательное расследование, не были ли похищены корпоративные данные, а после выхода официального патча – применить его и запустить сервер.

Хотя Progress Software пока официально не заявляла о том, что уязвимость активно эксплуатируется, представители многих организаций уже высказались о том, что их данные были украдены. Судя по всему, злоумышленники пока не начали шантажировать своих жертв, и, вероятно, ещё не выдвигали требования выкупа. Однако это лишь вопрос времени. Скоро мы наверняка узнаем, кто стоит за этими атаками.

Эксплуатация уязвимости нулевого дня MOVEit Transfer очень похожа на массовую эксплуатацию уязвимости нулевого дня в программе Fortra GoAnywhere MFT в январе 2023 года и Accellion FTA в декабре 2020 года. Оба продукта являются платформами для передачи файлов (MFT), которые стали жертвами банды вымогателей Clop, укравшей данные сотен организаций. Будет даже неудивительно, если за этой атакой также стоят хакеры Clop, учитывая их нездоровую симпатию к MFT-сервисам.

Public Release.