Der Staub um das MFT-Fiasko von GoAnywhere hat sich noch nicht richtig gelegt, und wir haben bereits eine weitere sichere Dateiübertragungslösung für Unternehmen, die gehackt und für Datendiebstahl missbraucht wurde.
Diesmal handelt es sich um MOVEit Transfer, eine MFT-Lösung (Managed File Transfer), die von Ipswitch, einer Tochtergesellschaft eines Unternehmens namens Progress, entwickelt wurde.
Das Unternehmen hat die Entdeckung einer „kritischen“ Sicherheitslücke bestätigt und seine Benutzer dringend aufgefordert, in Erwartung eines offiziellen Patches sofort eine Problemumgehung durchzuführen.
Eskalation von Berechtigungen
„Progress hat eine Schwachstelle in MOVEit Transfer entdeckt, die zu erweiterten Berechtigungen und potenziell unbefugtem Zugriff auf die Umgebung führen könnte“, heißt es in der Ankündigung des Unternehmens.
„Wenn Sie MOVEit Transfer-Kunde sind, ist es äußerst wichtig, dass Sie sofort die unten aufgeführten Maßnahmen ergreifen, um zum Schutz Ihrer MOVEit Transfer-Umgebung beizutragen, während unser Team einen Patch erstellt.“
Das Unternehmen sagt, dass Benutzer externen Datenverkehr zu den Ports 80 und 443 blockieren sollten, was höchstwahrscheinlich den externen Zugriff auf die Web-Benutzeroberfläche sowie einige Automatisierungsaufgaben verhindern wird. APIs funktionieren nicht mehr, ebenso wie das Outlook-Plugin, aber Kunden können weiterhin die Protokolle SFTP und FTP/s verwenden, um Dateien zwischen Endpunkten zu übertragen.
Darüber hinaus sollten Benutzer den Ordner „c:\MOVEit Transfer\wwwroot\“ auf unerwartete Dateien, Backups oder große Dateidownloads untersuchen, da dies der häufigste Indikator für eine Kompromittierung zu sein scheint, berichtete BleepingComputer ebenfalls.
Die Details über den Fehler und seine Täter selbst fehlen noch. Wir wissen, dass es sich um einen Zero-Day-Angriff handelt und dass damit sensible Dateien von den Benutzern extrahiert werden können. Cybersicherheitsforscher von Rapid7 glauben, dass es sich hierbei um einen SQL-Injection-Fehler handelt, der die Ausführung von Code aus der Ferne ermöglicht. Es wurde noch kein CVE zugewiesen.
Wir wissen auch nicht, welche Auswirkungen der Fehler hat, aber BleepingComputer hat seinen Quellen zufolge bisher „zahlreichen Organisationen“ Daten gestohlen. Es gibt mindestens 2.500 exponierte Übertragungsserver, die sich größtenteils in den Vereinigten Staaten befinden.
Es ist davon auszugehen, dass die Angreifer versuchen werden, Geld von den Opfern zu erpressen, als Gegenleistung dafür, dass die Daten vertraulich bleiben.
Über: BleepingComputer