Pesquisadores estão alertando sobre exploração ativa de uma falha crítica de desvio de autenticação no software de transferência de arquivos MOVEit Transfer. Correções já foram lançadas.
Falha crítica no MOVEit Transfer
A Progress Software corrigiu duas vulnerabilidades críticas de desvio de autenticação, rastreadas como CVE-2024-5805 e CVE-2024-5806, afetando seu software de transferência de arquivos MOVEit Transfer. A vulnerabilidade CVE-2024-5805 (pontuação CVSS 9.1) é uma vulnerabilidade de autenticação imprópria no Progress MOVEit Gateway (módulo SFTP) que permite o bypass de autenticação. A vulnerabilidade foi descoberta por Max Hase, ela impacta o MOVEit Gateway: 2024.0.0.
A vulnerabilidade CVE-2024-5806 (pontuação CVSS 9.1) também é uma vulnerabilidade de autenticação inadequada que reside no Progress MOVEit Transfer (módulo SFTP) que pode levar ao desvio de autenticação.
Problema gerado pela falha
Este problema afeta a transferência MOVEit: de 2023.0.0 antes de 2023.0.11, de 2023.1.0 antes de 2023.1.6, de 2024.0.0 antes de 2024.0.2. A falha CVE-2024-5806 foi corrigida com o lançamento das versões 2023.0.11, 2023.1.6 e 2024.0.2. CVE-2024-5805 foi resolvido com o lançamento da versão 2024.0.1.
O Progress destacou que uma vulnerabilidade recentemente descoberta num componente de terceiros aumenta o nível de risco para este CVE. A empresa recomenda que os clientes mitiguem a vulnerabilidade de terceiros, verificando se bloquearam o acesso público RDP de entrada ao(s) servidor(es) MOVEit Transfer e limitando o acesso de saída apenas a endpoints confiáveis conhecidos do(s) servidor(es) MOVEit Transfer.
Especialistas alertaram sobre tentativas de exploração direcionadas à vulnerabilidade CVE-2024-5806. Os pesquisadores da WatchTowr publicaram uma análise detalhada da falha CVE-2024-5806 e acrescentaram que a Progress tem entrado em contato proativamente com os clientes há semanas ou meses para garantir que eles resolvam o CVE-2024-5806.
Claramente, esta é uma vulnerabilidade séria. Também é um pouco difícil de diagnosticar, dado o conhecimento do protocolo SSH e um esforço considerável de engenharia reversa do .NET necessário.
No entanto, a presença da Illegal characters in path exceção deve chamar a atenção de quaisquer outros investigadores que estejam à procura da vulnerabilidade, e a relativa simplicidade da exploração presta-se à descoberta ‘acidental’.
Comunicado publicado pela WatchTowr
Além disso, pesquisadores da Shadowserver Foundation também relataram ter observado tentativas de exploração do CVE-2024-5806 e pedem aos clientes que resolvam o problema.
Os usuários podem rastrear instâncias expostas do Progress MOVEit Transfer por meio do painel Shadowserver. O Security Affairs comenta que há poucas horas, já havia mais de 1.700 instâncias voltadas para a Internet, a maioria delas nos EUA.