Un’altra vulnerabilità nel prodotto MoveIt Transfer di Progress Software è sotto attacco attraverso un’apparente fuga di informazioni su un difetto.
Negli avvisi di sicurezza rilasciati martedì, Progress ha dettagliato due vulnerabilità critiche di autenticazione impropria, una tracciata come CVE-2024-5806 che interessa il suo prodotto MoveI Transfer e l’altra CVE-2024-5805 nel suo prodotto MoveItGateway. Le segnalazioni di sfruttamento di CVE-2024-5806 sono in aumento ed è fondamentale applicare patch basate sugli attacchi passati.
L’anno scorso il gruppo criminale informatico Cl0p ha condotto una campagna industriale per sfruttare la vulnerabilità CVE-2023-34262 di MoveIt Transfer, moltiplicando le vittime.
La Shadowserver Foundation, un’organizzazione no-profit per la sicurezza informatica, ha iniziato a osservare i tentativi di sfruttare CVE-2024-5806 già martedì. Sottolinea che lo sfruttamento è iniziato subito dopo la divulgazione pubblica, una tendenza che sta diventando sempre più preoccupante.
“Poco dopo la pubblicazione dei dettagli della vulnerabilità, abbiamo iniziato a osservare i tentativi di sfruttare Progress MOVEit Transfer CVE-2024-5806 POST /guestaccess.aspx. Se state utilizzando MOVEit e non avete ancora applicato una patch, fatelo adesso”, ha scritto la Shadowserver Foundation su X, ex Twitter.
Progress ha rilasciato le correzioni per entrambi i difetti l’11 giugno e ha invitato gli utenti a eseguire l’aggiornamento alle ultime versioni di MoveIt. Tuttavia, esiste un avvertimento che potrebbe dissuadere gli utenti dall’applicare le patch in modo tempestivo: “l’aggiornamento a una versione con patch, utilizzando il programma di installazione completo, è l’unico modo per risolvere questo problema. Ci sarà un’interruzione del sistema durante l’aggiornamento”, ha scritto Progress Software in entrambi gli avvisi di sicurezza.
Per quanto riguarda CVE-2024-5806, la società ha inoltre avvisato gli utenti che esiste una nuova vulnerabilità in un componente di terze parti senza nome utilizzato in MoveIt Transfer che “aumenta i rischi del problema originale menzionato sopra se non viene corretto”. Progress Software ha inoltre indicato che la sua patch non risolveva il rischio associato al componente di terze parti.
Poco prima che Progress Software rendesse pubblico CVE-2024-5806 martedì, la società di soluzioni di sicurezza informatica WatchTowr Labs ha rivelato in un post sul blog che una fonte anonima, nota come dav1d_b141ne, aveva già pubblicato i dettagli sulla vulnerabilità in una chat Internet. Secondo una trascrizione della chat inviata a WatchTowr, dav1d_b141ne ha affermato che Progress Software stava contattando i clienti in merito a una vulnerabilità di bypass dell’autenticazione impropria nel suo prodotto MoveIt Transfer. La fonte ha sottolineato che i gruppi APT (Advanced Persistent Threat) e le bande di ransomware potrebbero già essere a conoscenza di questo difetto critico.
La fonte ha anche sottolineato il fatto che Progress ha affermato che la vulnerabilità può portare al bypass dell’autenticazione solo in “scenari limitati”. Dav1d_b141ne ha fornito a WatchTowr istanze di MoveIt Transfer con e senza patch.
Durante il test della vulnerabilità, i ricercatori di WatchTowr hanno concluso che si trattava di due vulnerabilità separate: una in Progress MoveIt e l’altra in una libreria di terze parti per il server SSH IPWorks. WatchTowr descrive IPWorks come un “prodotto commerciale moderatamente popolare, con una media di 33 download al giorno”. La libreria viene utilizzata come parte del processo di autenticazione di MoveIt. WatchTowr ha sottolineato che la vulnerabilità derivava dall’interazione tra MoveIt e IPWorks SSH, in particolare dall’incapacità di gestire una condizione di errore.
I ricercatori di WatchTowr hanno sottolineato che questo tipo di vulnerabilità non è facile da scoprire e non è chiaro come Progress Software e dav1d_b141ne scoperto. WatchTowr si è congratulato con Progress Software a condizione che abbia scoperto la vulnerabilità durante una revisione di routine del codice e abbia analizzato la causa principale: “Se questo è davvero il caso, tanto di cappello a Progress per aver preso il problema con la serietà che merita, e per non aver tentando di nasconderlo sotto il tappeto, come abbiamo visto fare altri venditori”, ha scritto WatchTowr nel suo blog. Tuttavia, i ricercatori affermano di essere “un po’ preoccupati (si può immaginare) dall’uso del termine ‘scenari limitati’ nell’avviso, poiché non possiamo ancora determinare quali scenari potrebbero impedire uno sfruttamento banale”.
Da allora Progress Software ha rimosso il riferimento agli “scenari limitati” dall’avviso.
WatchTowr ha inoltre elogiato il processo di divulgazione privata di Progress Software nei confronti dei suoi clienti, che potrebbe aver avuto luogo per settimane o mesi: “Non crediamo che qualcuno sia ancora vulnerabile a causa dell’embargo e degli sforzi compiuti in questo modo”. che i clienti hanno distribuito le patch.”
