Nova vulnerabilidade de transferência MOVEit sob exploração ativa
![move](https://i1.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgWujfa-zIkEKSSZrmJRXr8RYxicsbfk05Dp2v5jIamA7oX8WOyvd40jWPsAT7iE_LigNbqOdLHqD9ViOS1d5Cbuq7rPA5wbt6XZL5WkIsG0FKx5dvpqeFhLe-a0nqCMh23TAKHsabeBEzQtqBhGkhXBlk9Ol63yGqFG-v09rZFDm7L5sG1yOFiwZAZ8s11/s728-rw-e365/move.png?w=780&resize=780,470&ssl=1)
![Vulnerabilidade de transferência MOVEit Vulnerabilidade de transferência MOVEit](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgWujfa-zIkEKSSZrmJRXr8RYxicsbfk05Dp2v5jIamA7oX8WOyvd40jWPsAT7iE_LigNbqOdLHqD9ViOS1d5Cbuq7rPA5wbt6XZL5WkIsG0FKx5dvpqeFhLe-a0nqCMh23TAKHsabeBEzQtqBhGkhXBlk9Ol63yGqFG-v09rZFDm7L5sG1yOFiwZAZ8s11/s728-rw-e365/move.png)
Uma falha crítica de segurança recentemente divulgada que afeta o Progress Software program MOVEit Switch já está enfrentando tentativas de exploração brand após os detalhes do bug terem sido divulgados publicamente.
A vulnerabilidade, rastreada como CVE-2024-5806 (pontuação CVSS: 9.1), diz respeito a um desvio de autenticação que afeta as seguintes versões –
- De 2023.0.0 a 2023.0.11
- De 2023.1.0 até 2023.1.6, e
- De 2024.0.0 a 2024.0.2
“Vulnerabilidade de autenticação inadequada em Progress MOVEit Switch (módulo SFTP) pode levar ao bypass de autenticação”, disse a empresa em um comunicado divulgado na terça-feira.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiPFFLXZHfTA0FUmsAJ30SeqiM34x3Qes8BjBSTnhm4zHUJUal87CZLGZFJ7f5vxdaZIyNeTzf7fA-8s0CQhiG9ltxRFReWpgvmp2VfSMbjmN8i0yCv_74a3h7HaGxNlFqr5LEyPghIcxNNfXkksw3nQvKsqKKAU4wsl5Ll9UKu2hv6fbtXy4PHGNBW8SxC/s1200/a_d.png)
O Progress também abordou outra vulnerabilidade crítica de desvio de autenticação associada ao SFTP (CVE-2024-5805, pontuação CVSS: 9.1) que afeta o MOVEit Gateway versão 2024.0.0.
A exploração bem-sucedida das falhas pode permitir que os invasores contornem a autenticação SFTP e obtenham acesso aos sistemas MOVEit Switch e Gateway.
Desde então, o watchTowr Labs publicou detalhes técnicos adicionais sobre o CVE-2024-5806, com os pesquisadores de segurança Aliz Hammond e Sina Kheirkhah observando que ele poderia ser usado como arma para se passar por qualquer usuário no servidor.
A empresa de segurança cibernética descreveu ainda a falha como compreendendo duas vulnerabilidades separadas, uma no Progress MOVEit e outra na biblioteca IPWorks SSH.
“Embora a vulnerabilidade mais devastadora, a capacidade de se passar por usuários arbitrários, seja exclusiva do MOVEit, a vulnerabilidade de autenticação forçada menos impactante (mas ainda muito actual) provavelmente afetará todos os aplicativos que usam o servidor SSH IPWorks”, disseram os pesquisadores.
A Progress Software program disse que a deficiência no componente de terceiros “eleva o risco do problema authentic” se não for corrigida, pedindo aos clientes que sigam as duas etapas abaixo –
- Bloquear acesso RDP público de entrada para servidores de transferência MOVEit
- Limitar o acesso de saída apenas a endpoints confiáveis conhecidos do(s) servidor(es) MOVEit Switch
De acordo com Rapid7, existem três pré-requisitos para aproveitar o CVE-2024-5806: os invasores precisam ter conhecimento de um nome de usuário existente, a conta de destino pode ser autenticada remotamente e o serviço SFTP é acessível publicamente pela Web.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNS3KFIZ1kUzX9UAyIXkbApCqvKVe4YB7J7YxS5pyT89_UulKpYdfjxFzpEtKx1mkKxptph1SCYggLbhJDkGbKinHSktbbkeXeYBqil8kXuFRmXI-z3FdKj2qTdIYb5vdqZ-mb_NBp3AMTlAP7s4X9r14mq7rDBORzMWvL3CWY8vfZXFKBhdl3-x0BxK89/s728-e365/ad-d.jpg)
Em 25 de junho, os dados coletados pela Censys mostram que existem cerca de 2.700 instâncias do MOVEit Switch on-line, a maioria delas localizadas nos EUA, Reino Unido, Alemanha, Holanda, Canadá, Suíça, Austrália, França, Irlanda e Dinamarca.
Com outro problema crítico no MOVEit Switch amplamente abusado em uma onda de ataques de ransomware Cl0p no ano passado (CVE-2023-34362, pontuação CVSS: 9,8), é essencial que os usuários ajam rapidamente para atualizar para as versões mais recentes.
O desenvolvimento ocorre no momento em que a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) revelou que sua Ferramenta de Avaliação de Segurança Química (CSAT) foi alvo no início de janeiro de um ator de ameaça desconhecido, aproveitando-se de falhas de segurança no dispositivo Ivanti Join Safe (ICS) ( CVE-2023-46805, CVE-2024-21887 e CVE-2024-21893).
“Esta intrusão pode ter resultado no potencial acesso não autorizado a pesquisas na tela superior, avaliações de vulnerabilidade de segurança, planos de segurança do native, envios do Programa de Garantia de Pessoal (PSP) e contas de usuários CSAT”, disse a agência, acrescentando que não encontrou nenhuma evidência de dados exfiltração.