Progress MOVEit Transfer 中最近披露的一个漏洞引起了网络安全专家的担忧,因为去年勒索软件团伙利用另一个漏洞对 BBC 和 FBI 等组织进行了高调攻击,这一事件至今仍令人难忘。新的身份验证绕过漏洞(官方编号为 CVE-2024-5806)可能允许未经授权访问敏感数据。
MOVEit Transfer 专为大型企业使用而设计,具有符合 PCI 和 HIPAA 等法规的功能。它提供各种文件传输方法,包括 SFTP 和 HTTPS,使其成为许多组织数据管理基础设施中的关键组件。
Progress 最初对 CVE-2024-5806 的细节保密,建议客户在披露之前修补系统。2024 年 6 月 25 日,Progress 正式解除了对该漏洞的禁令,并透露该漏洞影响 MOVEit Transfer 2023.0 及更新版本以及 MOVEit Gateway 2024.0 及更新版本。
Progress MOVEit 漏洞详情
研究人员指出,WatchTowr Labs 在其 IRC 频道上收到了一位名为“dav1d_bl41ne”的用户发送的漏洞详细信息,这是一种不寻常的漏洞共享方法。研究人员决定进一步调查,并设置了一个测试环境来复制该漏洞。
来源:labs.watchtowr.com
测试环境的调试器输出显示服务器抛出异常并试图以意外方式访问文件。经过进一步调查,研究人员发现,通过在身份验证期间提供有效的文件路径而不是 SSH 公钥,可以利用此漏洞。这导致服务器尝试访问该文件,从而使攻击者获得对系统的未经授权的访问权限。
研究人员分享了利用该漏洞的以下步骤:
- 将公钥上传到文件传输服务器。
- 不要提供合法的公钥,而是将文件路径发送到公钥,并使用相同的公钥签署身份验证请求。
- 登录成功后,服务器将接受密钥,并允许访问目标文件。
该漏洞影响 MOVEit Transfer 2023.0 及更新版本以及 MOVEit Gateway 2024.0 及更新版本。Progress将其描述为SFTP 模块中的“不正确的身份验证漏洞”,可能导致“在有限情况下绕过身份验证”。在有限情况下,CVE-2024-5806 允许绕过身份验证,可能让攻击者未经授权访问敏感文件。该漏洞尤其令人担忧,因为该软件在企业中广泛使用,使其成为 APT 组织、勒索软件团伙和其他恶意行为者的主要目标。
为了防止该缺陷被利用,Progress 提出了以下建议:
- 阻止对 MOVEit Transfer 服务器的公共入站 RDP 访问。
- 将 MOVEit Transfer 服务器上的出站访问限制为仅受信任的端点。
根据 Shadowserver 基金会在 X 上的一篇文章,该基金会在漏洞披露后不久就观察到了利用该漏洞的积极攻击尝试。
资料来源:X.com
MOVEit 漏洞的影响
去年该漏洞被大规模利用后不久被发现,再次引发了关于企业环境中文件传输解决方案安全性的讨论。未经授权访问敏感文件的可能性可能会对大量依赖 MOVEit Transfer 的企业产生深远影响。
虽然漏洞影响的程度仍在评估中,但此次事件已引发网络安全社区对负责任披露做法的更多争论。一些人认为,尽早私下通知受影响方至关重要,而另一些人则主张更透明的公开披露,以确保广泛了解并迅速采取行动。
随着形势的发展,建议IT 管理员和安全专业人员保持警惕,监控任何漏洞迹象,并实施建议的安全措施来保护他们的 MOVEit Transfer 部署。
发表评论
您还未登录,请先登录。
登录