MOVEit Transfer和MOVEit Gateway中的认证绕过

最后更新于2024年6月28日星期五17:51:57 GMT

On June 25, 2024, Progress Software发布了MOVEit Transfer和MOVEit Gateway中两个新漏洞的信息:

• CVE-2024-5806, a critical authentication bypass affecting the MOVEit Transfer SFTP service in a default configuration; and
• CVE-2024-5805，一个影响MOVEit网关的与sftp相关的关键身份验证绕过漏洞.

攻击者可以利用这些不合理的认证漏洞绕过SFTP认证，访问MOVEit Transfer和MOVEit Gateway.

Note: On June 26, 2024, Progress Software更新了CVE-2024-5806的通知，声明“MOVEit Transfer中使用的第三方组件中新发现的漏洞增加了原始问题的风险.同一天，CVE-2024-5806的严重等级从“高”改为“严重”.该建议现在还包括两个新的缓解建议:“验证您已阻止对MOVEit传输服务器的公共入站RDP访问”和“限制仅对来自MOVEit传输服务器的已知可信端点的出站访问”。.“从供应商的沟通和公众话语来看， 概念验证漏洞利用代码 6月25日发布的MOVEit Transfer漏洞可能还包括一个新的零日漏洞，Progress Software和第三方库生产商之前都没有意识到这一点.

CVE-2024-5806 is an improper authentication vulnerability affecting the MOVEit Transfer SFTP service that can lead to authentication bypass; the exploit chain that was publicly released on June 25 also allows for the theft of Windows service account credentials via forced authentication (it’s unclear as of June 26 whether credential theft via forced authentication is part of the original CVE-2024-5806 issue or a completely separate new vulnerability that was surprise-disclosed to Progress Software and the third-party library producer).

Rapid7研究人员测试了MOVEit Transfer 2023.0.1个实例，在默认配置中似乎容易受到CVE-2024-5806的攻击. As of June 25, 利用身份验证绕过的已知标准有三个:攻击者知道现有的用户名, 目标帐户可以远程身份验证, 并且SFTP服务被暴露. 攻击者可能会使用用户名来识别有效的帐户. 如果主机系统的防火墙允许Windows将自动验证的协议的出口流量，则可以执行强制身份验证攻击, such as SMB. Rapid7建议在紧急情况下安装供应商提供的CVE-2024-5806补丁, 无需等待常规补丁周期发生.

Notably, Rapid7观察到，至少从6月11日开始，VirusTotal就可以安装最新版本的MOVEit Transfer补丁, 2024. 漏洞细节和概念验证利用代码 都是公开的 截至2024年6月25日，MOVEit Transfer CVE-2024-5806. 非盈利安全机构Shadowserver拥有 报告的攻击企图 (请注意，蜜罐活动并不总是与现实生产环境中的威胁活动相关).

MOVEit网关CVE-2024-5805

根据Progress Software的 advisory, CVE-2024-5805是一个严重的身份验证绕过漏洞，影响2024版本MOVEit Gateway软件的SFTP特性.0.0; earlier versions do not appear to be vulnerable, 哪些可能限制可用的攻击面面积. MOVEit网关是一个可选组件，旨在代理流量进出MOVEit传输实例. CVE-2024-5805有补丁可用，应该在紧急情况下应用于运行MOVEit网关的组织.

Mitigation guidance

MOVEit是一个企业文件传输套件, 这使得它成为威胁行为者的理想目标. 由于企业文件传输软件通常持有大量机密数据, 打砸抢攻击者以这些解决方案为目标来勒索受害者. 2023年6月，一个针对MOVEit Transfer的未经验证的攻击链 widely exploited Cl0p勒索软件组织. Shodan查询表明大约有1个,000个面向公众的MOVEit Transfer SFTP服务器和大约70个面向公众的MOVEit Gateway SFTP服务器. (请注意，并非所有这些都可能容易受到这些最新cve的攻击.)

MOVEit客户应立即应用供应商提供的针对这两个漏洞的更新.

以下版本的MOVEit Transfer易受攻击 CVE-2024-5806:

• MOVEit Transfer 2023.0.x (固定在MOVEit转移2023.0.11)
• MOVEit Transfer 2023.1.x (固定在MOVEit转移2023.1.6)
• MOVEit Transfer 2024.0.x (固定在MOVEit转移2024.0.2)

根据供应商指南, 客户应确保他们已阻止对其MOVEit传输服务器的公共入站RDP访问。, 并且他们将出站访问限制为仅对来自MOVEit传输服务器的已知可信端点进行访问。. 该公告还指出:“使用 MOVEit Cloud 环境的客户已经打了补丁，不再容易受到此漏洞的攻击.”

只有MOVEit Gateway 2024.0.0易受CVE-2024-5805攻击 vendor advisory. The vulnerability is 固定在2024年MOVEit网关.0.1. 提示“MOVEit Cloud不使用MOVEit Gateway”, 因此，MOVEit Cloud的客户不需要采取进一步行动.”

Rapid7 customers

InsightVM和expose客户可以在6月25日发布的内容中使用经过验证的漏洞检查来评估他们对CVE-2024-5805和CVE-2024-5806的暴露程度.

Updates

June 25, 2024: 利用漏洞的尝试 reported against honeypots. 更新了Rapid7客户语言，以说明InsightVM/ expose检查的一般可用性.

June 26, 2024: 我们已经更新了博客，以反映CVE-2024-5806的严重性和指导的变化. On June 26, 2024, Progress Software更新了CVE-2024-5806的建议，“MOVEit Transfer中使用的第三方组件中新发现的漏洞增加了原始问题的风险。.CVE-2024-5806的严重等级也从“高”改为“严重”.”

截至6月26日，尚不清楚新的“通过强制身份验证窃取凭证”方面是原始CVE-2024-5806问题的一部分，还是在Progress Software或第三方库生产商能够发布修复或缓解指导之前公开发布的完全独立的新漏洞. Regardless, 该建议现在包括两个新的缓解建议:“验证您已阻止对MOVEit传输服务器的公共入站RDP访问”和“限制仅对来自MOVEit传输服务器的已知可信端点的出站访问”。.