Kritisk sårbarhet i MOVEit Transfer

Sårbarhet MOVEit

Ett flertal rapporter varnar för en kritisk sårbarhet i MOVEit Transfer. [1,2,3]

Sårbarheten (CVE-2023-34362) innebär att en oautentiserad angripare kan utföra en SQL-injektion och få förhöjda rättigheter för att sedan kunna köra skadlig kod på systemet (RCE). När detta är gjort är det möjligt för angriparen att plantera en bakdörr på det drabbade systemet, ett s.k. webshell. På så sätt kan en angripare mer eller mindre ta kontroll över den drabbade maskinen (och potentiellt sett även andra maskiner på samma nätsegment).

Indikationer finns redan att denna sårbarhet utnyttjas aktivt mot organisationer i Sverige. Rekommenderade åtgärder och säkerhetspatchar finns publicerade. [2]

Uppdatering 2023-06-08

CISA har publicerat en sammanställning med ytterligare tekniska detaljer, IOC:er och skyddsåtgärder. [4]

Uppdatering 2023-06-12

Progress rapporterar den 9 juni om ytterligare en sårbarhet i MOVEit Transfer (CVE-2023-35036). Patchen för CVE-2023-34362 har uppdaterats och inbegriper nu även fix för sårbarheten rapporterad den 9 juni. Verksamheter som tidigare, innan patchen uppdaterades, installerat patch för CVE-2023-34362 rekommenderas att snarast möjligt installera också patch för den senaste sårbarheten. [5]

Uppdatering 2023-06-13

Ett proof of concept för att utnyttja sårbarheten CVE-2023-34362 har nu tillgängliggjorts offentligt. [6]

Uppdatering 2023-06-16

Säkerhetsuppdateringar för en ny kritisk sårbarhet i MOVEit har publicerats den 15 juni. Den nya sårbarheten har inte tilldelats ett CVE-nummer ännu, men det rör sig om en sk. privilege escalation-sårbarhet vilket innebär att en angripare kan öka sina rättigheter och potentiell tillskansa sig obehörig åtkomst till it-miljön [7]. Progress har publicerat olika råd beroende på om man har säkerhetsuppdaterat de tidigare sårbarheterna eller inte [7].

Uppdatering 2023-07-10

Progress informerade den 6 juli om att de inför en process för regelbundna säkerhetsuppdateringar för MOVEit-produkter. Samtidigt informerade de om ytterligare tre sårbarheter i Moveit Transfer, varav en beskrivs som kritisk. Det gäller sårbarheterna CVE-2023-36932, CVE-2023-36933 och CVE-2023-36934. Sårbarheterna hanteras av Moveit Transfers säkerhetsuppdatering för juli. [8]

Påverkade produkter

Sårbarheten påverkar följande produkter: [2]

MOVEit Transfer 2023.0.0
MOVEit Transfer 2022.1.x
MOVEit Transfer 2022.0.x
MOVEit Transfer 2021.1.x
MOVEit Transfer 2021.0.x

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter där uppdatering finns tillgänglig. Där uppdatering inte finns tillgänglig ska systemet skiljas från internet för att förhindra otillbörlig åtkomst.

Källor

[1] https://www.rapid7.com/blog/post/2023/06/01/rapid7-observed-exploitation-of-critical-moveit-transfer-vulnerability/

[2] https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023

[3] https://www.bleepingcomputer.com/news/security/new-moveit-transfer-zero-day-mass-exploited-in-data-theft-attacks/

[4] https://www.cisa.gov/sites/default/files/2023-06/aa23-158a-stopransomware-cl0p-ransomware-gang-exploits-moveit-vulnerability_5.pdf

[5] https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-CVE-Pending-Reserve-Status-June-9-2023

[6] https://www.bleepingcomputer.com/news/security/exploit-released-for-moveit-rce-bug-used-in-data-theft-attacks/

[7] https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-15June2023

[8] https://community.progress.com/s/article/MOVEit-Transfer-2020-1-Service-Pack-July-2023