Uma falha crítica de segurança recentemente divulgada que afeta o Progress Software program MOVEit Switch já está enfrentando tentativas de exploração brand após os detalhes do bug terem sido divulgados publicamente.
A vulnerabilidade, rastreada como CVE-2024-5806 (pontuação CVSS: 9.1), diz respeito a um desvio de autenticação que afeta as seguintes versões –
- De 2023.0.0 a 2023.0.11
- De 2023.1.0 até 2023.1.6, e
- De 2024.0.0 a 2024.0.2
“Vulnerabilidade de autenticação inadequada em Progress MOVEit Switch (módulo SFTP) pode levar ao bypass de autenticação”, disse a empresa em um comunicado divulgado na terça-feira.
O Progress também abordou outra vulnerabilidade crítica de desvio de autenticação associada ao SFTP (CVE-2024-5805, pontuação CVSS: 9.1) que afeta o MOVEit Gateway versão 2024.0.0.
A exploração bem-sucedida das falhas pode permitir que os invasores contornem a autenticação SFTP e obtenham acesso aos sistemas MOVEit Switch e Gateway.
Desde então, o watchTowr Labs publicou detalhes técnicos adicionais sobre o CVE-2024-5806, com os pesquisadores de segurança Aliz Hammond e Sina Kheirkhah observando que ele poderia ser usado como arma para se passar por qualquer usuário no servidor.
A empresa de segurança cibernética descreveu ainda a falha como compreendendo duas vulnerabilidades separadas, uma no Progress MOVEit e outra na biblioteca IPWorks SSH.
“Embora a vulnerabilidade mais devastadora, a capacidade de se passar por usuários arbitrários, seja exclusiva do MOVEit, a vulnerabilidade de autenticação forçada menos impactante (mas ainda muito actual) provavelmente afetará todos os aplicativos que usam o servidor SSH IPWorks”, disseram os pesquisadores.
A Progress Software program disse que a deficiência no componente de terceiros “eleva o risco do problema authentic” se não for corrigida, pedindo aos clientes que sigam as duas etapas abaixo –
- Bloquear acesso RDP público de entrada para servidores de transferência MOVEit
- Limitar o acesso de saída apenas a endpoints confiáveis conhecidos do(s) servidor(es) MOVEit Switch
De acordo com Rapid7, existem três pré-requisitos para aproveitar o CVE-2024-5806: os invasores precisam ter conhecimento de um nome de usuário existente, a conta de destino pode ser autenticada remotamente e o serviço SFTP é acessível publicamente pela Web.
Em 25 de junho, os dados coletados pela Censys mostram que existem cerca de 2.700 instâncias do MOVEit Switch on-line, a maioria delas localizadas nos EUA, Reino Unido, Alemanha, Holanda, Canadá, Suíça, Austrália, França, Irlanda e Dinamarca.
Com outro problema crítico no MOVEit Switch amplamente abusado em uma onda de ataques de ransomware Cl0p no ano passado (CVE-2023-34362, pontuação CVSS: 9,8), é essencial que os usuários ajam rapidamente para atualizar para as versões mais recentes.
O desenvolvimento ocorre no momento em que a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) revelou que sua Ferramenta de Avaliação de Segurança Química (CSAT) foi alvo no início de janeiro de um ator de ameaça desconhecido, aproveitando-se de falhas de segurança no dispositivo Ivanti Join Safe (ICS) ( CVE-2023-46805, CVE-2024-21887 e CVE-2024-21893).
“Esta intrusão pode ter resultado no potencial acesso não autorizado a pesquisas na tela superior, avaliações de vulnerabilidade de segurança, planos de segurança do native, envios do Programa de Garantia de Pessoal (PSP) e contas de usuários CSAT”, disse a agência, acrescentando que não encontrou nenhuma evidência de dados exfiltração.
