Компания Progress Software, создатель файлообменной платформы MOVEit Transfer, которая недавно стала объектом широкомасштабных атак по краже данных, предупредила своих заказчиков о необходимости устранения уязвимости максимальной степени тяжести в своем ПО WS_FTP Server.
По словам компании, тысячи ИТ-команд по всему миру используют ее программное обеспечение для безопасной передачи файлов корпоративного уровня WS_FTP Server.
В опубликованном в среду бюллетене Progress раскрыл информацию о многочисленных уязвимостях, затрагивающих интерфейс менеджера и модуль Ad hoc Transfer Module.
Из всех уязвимостей WS_FTP Server, исправленных на этой неделе, две были оценены как критические, причем одна из них отслеживается как CVE-2023-40044 получила максимальную оценку 10/10 и позволяла неавторизованным злоумышленникам выполнять удаленные команды после успешной эксплуатации уязвимости десериализации .NET в модуле Ad Hoc Transfer.
Другая критическая ошибка ( CVE-2023-42657 ) представляет собой уязвимость обхода каталога, позволяющую злоумышленникам выполнять файловые операции вне разрешенного пути к папке WS_FTP.
"Злоумышленники также могут выйти из контекста файловой структуры WS_FTP Server и выполнить операции того же уровня (delete, rename, rmdir, mkdir) над расположением файлов и папок в базовой операционной системе", - говорится в сообщении Progress.
Согласно полученному компанией рейтингу CVSS:3.1 для обеих уязвимостей, злоумышленники могут использовать их в атаках низкой сложности, не требующих взаимодействия с пользователем.
"Мы устранили указанные выше уязвимости, и команда Progress WS_FTP настоятельно рекомендует выполнить обновление", - предупреждает Progress.
"Мы рекомендуем обновиться до самой последней версии - 8.8.2. Обновление до исправленной версии с использованием полной программы установки является единственным способом устранения данной проблемы. На время выполнения обновления система будет отключена".
Компания также поделилась информацией о том, как удалить или отключить уязвимый модуль передачи данных WS_FTP Server Ad Hoc Transfer Module, если он не используется.
2 100 успешных атак на кражу данных с помощью MOVEit и далее
Компания Progress все еще борется с последствиями обширной серии атак на кражу данных, последовавших за использованием "нулевого дня" в платформе безопасной передачи файлов MOVEit Transfer бандой вымогателей Clop, начиная с 27 мая.
По оценкам компании Emsisoft, опубликованным в понедельник, в результате этих атак пострадали более 2100 организаций и более 62 млн. человек.
Несмотря на широкий охват и большое количество жертв, по оценкам Coveware, лишь небольшое число из них, скорее всего, поддастся на требования Clop о выкупе. Тем не менее ожидается, что из-за высоких требований выкупа киберпреступная группа соберет порядка 75-100 млн. долл.
Кроме того, появились сообщения о том, что жертвами атак Clop стали несколько федеральных агентств США и две организации, входящие в структуру Министерства энергетики США (DOE).
Clop был связан с несколькими масштабными кампаниями по краже данных и вымогательству, направленными на другие платформы управляемой передачи файлов, включая серверы Accellion FTA в декабре 2020 года, атаки на SolarWinds Serv-U Managed File Transfer в 2021 году и массовую эксплуатацию "нулевого дня" GoAnywhere MFT в январе 2023 года.
Во вторник в форме 8-K, поданной в Комиссию по ценным бумагам и биржам США, компания Progress Software сообщила об увеличении доходов за третий финансовый квартал, завершившийся 31 августа 2023 года, на 16% по сравнению с предыдущим годом.
Progress исключила из отчета "определенные расходы, связанные с уязвимостью нулевого дня MOVEit", поскольку намерена "представить дополнительные сведения об уязвимости MOVEit в нашей форме 10-Q за квартал, закончившийся 31 августа 2023 г.".
Обновление 29 сентября, 16:37 EDT: Представитель компании Progress после публикации статьи сделал следующее заявление:
Мы ответственно подошли к раскрытию этих уязвимостей совместно с исследователями из компании Assetnote. В настоящее время мы не видим никаких признаков того, что эти уязвимости были использованы. Мы выпустили исправление и рекомендовали нашим клиентам выполнить обновление до исправленной версии нашего программного обеспечения. Безопасность имеет для нас первостепенное значение, и мы используем методы разработки, позволяющие по возможности минимизировать уязвимости продукта.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
