NCSC waarschuwt voor grootschalig lek in MOVEit Transfer-database

Het Nationaal Cyber Security Centrum heeft een waarschuwing uitgegeven voor een kwetsbaarheid in MOVEit Transfer, een zakelijke tool om bestanden mee te delen. Volgens het NCSC is de kans op misbruik en de mogelijke impact groot.

Het gaat om een SQL-injectiekwetsbaarheid die het CVS-kenmerk CVE-2023-34362 toegewezen heeft gekregen. De kwetsbaarheid kan ervoor zorgen dat een ongeautoriseerde aanvaller toegang kan verkrijgen tot tot de database van een MOVEit Transfer-server, aldus Progress, de ontwikkelaar van de tool. Vervolgens kunnen kwaadwillenden volgens het NCSC mogelijk de systemen van gebruikers en daarin opgeslagen gegevens inzien. Ook zou de kwetsbaarheid kunnen worden gebruikt voor het verkrijgen van beheerdersrechten op het getroffen systeem.

Het NCSC zegt 'indicaties te hebben' dat de kwetsbaarheid actief wordt misbruikt. Eerder deed beveiligingsbedrijf Rapid7 al melding van de kwetsbaarheid. Dat bedrijf beweert dat er op 31 mei al minstens 2500 MOVEit Transfer-servers vanaf het openbare internet toegankelijk waren. Het is onduidelijk hoelang de kwetsbaarheid al wordt uitgebuit. In Nederland worden er volgens cybersecuritybedrijf Censys 134 MoveIT-servers gebruikt.

De ontwikkelaar van de tool, Progress, heeft inmiddels beveiligingsupdates beschikbaar gemaakt die het beveiligingslek dichten. Het NCSC raadt gebruikers aan om deze zo spoedig mogelijk te downloaden. Ook heeft de cybersecurityorganisatie Indicators of Compromise gepubliceerd waarmee gebruiken erachter kunnen komen of een ongeautoriseerd iemand toegang heeft verkregen tot hun systemen. Ook de Amerikaanse en Duitse overheden raden organisaties die gebruikmaken van de tool aan om de updates zo snel mogelijk binnen te halen.

Reacties (18)

Cergorach

Beveiliging en antivirus

3 juni 2023 12:35

Mijn eerste reactie: Waarom komen dit soort dingen pas naar buiten op zaterdag!?!? Vervolgens vrijdag? Maar dit is al langer bekend:
Op woensdag 31 mei doet Progress zelf (de maker van MoveIT) al melding van dit issue.
Rapid7 meld dit op donderdag 1 juni.
NSCS meld dit op vrijdag 2 juni via een CVE-2023-34362 melding.
Tweakers.net meld het op zaterdag 3 juni als nieuwsbericht.

Dit is dus een lek dat is ontdekt door de maker zelf die er zelf ook al een remediation voor heeft gepubliceerd met patch.

kodak

Beveiliging en antivirus

@Cergorach • 3 juni 2023 15:57

Als je klant van deze softwareleverancier bent lijkt me de eerste vraag of de leverancier je meteen geinformeerd heeft als je het nu pas leest. En afvragen hoe lang de softwareleverancier al van dit probleem wist, waarom ze het zelf niet al ontdekt en een update voor hadden en waarom ze daar niet uit zichzelf antwoord op geven.

Guru Evi @kodak • 3 juni 2023 17:21

De leverancier had ons al vorige week donderdagavond “ingelicht” nadat wij zelf een hele vloed informatie in de verkeerde richting zien gaan, na contact met de leverancier hebben ze uiteindelijk toegeven dat ze een probleem hadden.

Zoals gewoonlijk, als de web interface (het configuratiepaneel) open stond ben je waarschijnlijk gehackt. Maar het systeem (de SSH interface) is natuurlijk veilig en alles blijft werken zonder de web interface.

Heel baggere software met slechte documentatie (ze zeggen dat oa poort 80 en 443 open moet staan terwijl de functie helemaal niet open moet staan) maar veel banken etc gebruiken het wel. Voor “beveiliging” zeggen ze oa dat je je eigen firewall nodig hebt, geen enkele functie tijdens het opzetten van een verbinding om IP whitelisting te doen (in principe een GUI op SFTP+cron om een rsync-achtige functie uit te voeren).

[Reactie gewijzigd door Guru Evi op 22 juli 2024 15:42]

Mellow Jack @Guru Evi • 5 juni 2023 08:02

In de enterprise wereld is dat best logisch. Je gaat geen HTTPS verkeer scannen op een endpoint. Over het algemeen gooi je d'r een web application firewall tussen en die scant op bijv SQL injecties.

Even los van dit specifieke stukje software want ik ken dit verder niet

Cergorach

Beveiliging en antivirus

@kodak • 3 juni 2023 16:11

waarom ze het zelf niet al ontdekt en een update voor hadden en waarom ze daar niet uit zichzelf antwoord op geven.

Ze hebben het zelf ontdekt. En ik vraag me inderdaad af of ze direct zelf contact hebben opgenomen met hun klanten. Ik ben geen klant. Maar ik weet uit ervaring dat het niet de eerste keer is dat contact info die een leverancier heeft niet altijd uptodate is. Zo hebben we belangrijke updates op accounts binnengekregen van medewerkers die niet meer werken bij de organisatie (maar de mailboxen bestonden nog wel voor: redenen) of in mailboxen van legal, sales, etc. Die helemaal niet bij IT terecht kwamen.

Anonymoussaurus @Cergorach • 3 juni 2023 12:49

Tsja, ik had het gisteren of eergisteren 'al' gesubmit, maar toen is er niets mee gedaan. Vandaag ineens wel. Gebeurt wel vaker.

MOmax @Cergorach • 4 juni 2023 13:04

BSI heeft dit al eerder in een 1.0 versie op donderdag 1/6/2023 gepubliceerd nadat Progress zelf op 31/5 eea gepubliceerd geeft. Het is een beetje sneu dat de auteur van dit artikel dan NCSC als bron vermeld.

Laatste versie BSI:
https://www.bsi.bund.de/S...023/2023-240133-1000.html

Bij mij in het bedrijf ging MoveIT gelijk op slot - ITSec was allert - en de patches zijn geïnstalleerd.

[Reactie gewijzigd door MOmax op 22 juli 2024 15:42]

Bulkzooi @Cergorach • 4 juni 2023 19:46

Dit is dus een lek dat is ontdekt door de maker zelf die er zelf ook al een remediation voor heeft gepubliceerd met patch.

Als ik het zo ff snel lees heeft het meer weg van een implementatie correctie.

Toch wel erg zulke SQL-injecties bij vooraanstaande bedrijven. En in de post-Corona-wereld van build-back-better wordt het iets té graag gebruikt, als een gouden excuus.

Secure, Auditable, Automated, and Compliant File Transfer — On-Premise and In the Cloud

https://www.progress.com/moveit

Bulkzooi @Bulkzooi • 21 juni 2023 00:07

@Anonymoussaurus

Als ik het zo ff snel lees heeft het meer weg van een implementatie correctie.

Toch wel erg zulke SQL-injecties bij vooraanstaande bedrijven. En in de post-Corona-wereld van build-back-better wordt het iets té graag gebruikt, als een gouden excuus.

Secure, Auditable, Automated, and Compliant File Transfer — On-Premise and In the Cloud

SQL Injection Vulnerability in MOVEit Transfer:
MOVEit Automation,
MOVEit Client,
MOVEit Add-in for Microsoft Outlook, MOVEit Mobile,
WS_FTP Client,
WS_FTP Server,
MOVEit EZ,
MOVEit Gateway,
MOVEit Analytics, and
MOVEit Freely

Die dikgedrukte software is pas in 2019 aangekocht van Ipswitch. Het support ook scp2, vermoedelijk met SHA2.

SCP (Secure Copy) is a protocol that uses SSH to provide "remote copy" capability in a secure environment. Traditionally, "remote copy" was used to transfer files within a secure internal network. SCP leverages SSH to provide authentication and secure transfer.

A log file named xferlog.txt will be written.

Lijkt mij eerder een permanente lekkage die verwaarloosd is. Is een beetje hetzelfde als .odbc open laten en dan achteraf raar opkijken als er iets met de data gebeurd.

https://www.progress.com/moveit

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 15:42]

Anonymoussaurus 3 juni 2023 11:57

Dit wordt ook door allerlei banken en financieel dienstverleners gebruikt:

Securitybedrijf Huntress zegt dat er meer dan 2500 installaties toegankelijk zijn vanaf het internet: https://www.huntress.com/...nerability-rapid-response

Faeron 3 juni 2023 12:23

Foutje in titel, NCSC, niet NSCS.

skabouter @Faeron • 3 juni 2023 12:23

In de tekst ook, ze worden beiden (foutief) door elkaar heen gebruikt

The Zep Man

Beveiliging en antivirus

3 juni 2023 12:37

Titel:

NSCS waarschuwt voor grootschalig lek in MOVEit Transfer-database

Tekst:

Nederlandse Cyber Security Centrum

Ik dacht al, wat is het NSCS? Moet natuurlijk NCSC zijn.

BouncingBaklap @The Zep Man • 3 juni 2023 13:56

En als je helemaal officieel wilt doen moet het Nationaal Cyber Security Centrum zijn i.p.v. Nederlandse.

[Reactie gewijzigd door BouncingBaklap op 22 juli 2024 15:42]

VictorK

@BouncingBaklap • 3 juni 2023 18:54

Voor de volledigheid: het Nederlandse NCSC. Want onze westerburen aan de andere kant van de plas hebben ook een NCSC

BouncingBaklap @VictorK • 3 juni 2023 19:58

Touché

Bulkzooi 7 juni 2023 13:55

Update:

Het gaat onder meer om de gegevens van de omroep BBC, vliegtuigmaatschappij British Airways, de apotheker Boots en de Engelse filialen van Payroll services provider Zellis.

https://www.bbc.com/news/technology-65829726

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 15:42]

Bulkzooi 24 juni 2023 07:41

Ook de en overheden raden organisaties die gebruikmaken van de tool aan om de updates zo snel mogelijk binnen te halen.

nou, dit gaat nog wel iets verder:

The DOE contractor Oak Ridge Associated Universities and the Waste Isolation Pilot Plant, the New Mexico.

From U.S. government departments to the UK's telecom regulator and energy giant Shell. all were hit.

Also Sony, EY and PwC latest victims of Cl0p ransomware's MOVEit Transfer cyberattack.

Betreft dus
CVE-2023-35036
CVE-2023-34362
CVE-2023-35708

het probleem?
The cl0p (TA 505) ransmomwargroup claimed to have exfiltrated data from the GoAnywhere MFT platform that impacted approximately 130 victims.

In total, TA505 is estimated to have compromised more than 3,000 U.S.-based organizations and 8,000 global organizations.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 15:42]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (18)

Sorteer op:

Weergave: