CVE-2024-5806-Erkennung: Eine neue Authentifizierungsumgehungsschwachstelle in Progress MOVEit Transfer unter aktiver Ausnutzung
Inhaltsverzeichnis:
Die Cyber-Bedrohungslandschaft im Juni heizt sich stark auf, vor allem aufgrund der Offenlegung neuer Schwachstellen, wie z.B. CVE-2024-4577 und CVE-2024-29849. Forscher haben eine neuartige kritische Schwachstelle bei der unsachgemäßen Authentifizierung in Progress MOVEit Transfer identifiziert, die als CVE-2024-5806 verfolgt wird und bereits wenige Stunden nach ihrer Entdeckung aktiv in freier Wildbahn ausgenutzt wurde.
Erkennung von CVE-2024-5806-Ausnutzungsversuchen
Da MOVEit nach den Vorfällen des vergangenen Jahres ein attraktives Ziel für Cyberkriminelle bleibt, ist das Potenzial, auf interne Dateien von Großunternehmen zuzugreifen, für Angreifer besonders verlockend. Die neuartige Schwachstelle in Progress MOVEit Transfer, verfolgt als CVE-2024-5806, könnte zu einer Umgehung der Authentifizierung führen, was für Verteidiger eine wachsende Herausforderung darstellt, da sie kurz nach Bekanntwerden der Schwachstelle in freier Wildbahn ausgenutzt wurde. Angreifer könnten versuchen, CVE-2024-5806 zu nutzen, um ersten Zugang zu erhalten. Die SOC Prime Plattform für kollektive Cyber-Abwehr hat eine neue Sigma-Regel veröffentlicht, um potenzielle CVE-2024-5806-Ausnutzungsversuche zu erkennen. Melden Sie sich bei der SOC Prime Plattform an, um direkt auf den unten verlinkten speziellen Erkennungsalgorithmus zuzugreifen:
Diese Sigma-Regel ist mit dem MITRE ATT&CK ®Framework ausgerichtet, das die Taktik des ersten Zugangs und die Technik der Ausnutzung öffentlicher Anwendungen (T1190) adressiert. Abhängig von Ihrer Technologiestack ist die Erkennung bereit, auf Dutzende von SIEM-, EDR- und Data-Lake-Technologien eingesetzt zu werden.
Um über die sich ständig weiterentwickelnde Bedrohungslandschaft auf dem Laufenden zu bleiben und rechtzeitig Angriffe zu identifizieren, die kritische Schwachstellen und Zero-Days ausnutzen, klicken Sie auf die Explore Detections -Schaltfläche, um die umfassende Sammlung relevanter SOC-Inhalte zu nutzen.
CVE-2024-5806 Analyse
Der nervenaufreibende Zero-Day des letzten Jahres CVE-2023-34362 in Progress MOVEit Transfer sorgte für Aufsehen in der Cybersicherheitsbranche und stellte erhebliche Risiken von sensiblen Datenlecks sogar für hochkarätige Organisationen dar.
Das watchTowr-Team hat kürzlich eine neue Schwachstelle entdeckt, CVE-2024-5806, die in der Progress MOVEit Transfer-Software identifiziert wurde. Die Schwachstelle, die im SFTP-Modul des Produkts gefunden wurde, ermöglicht es Angreifern, die Authentifizierung zu umgehen und unbefugten Zugriff auf sensible Informationen zu erhalten. Die Schwachstelle betrifft MOVEit Transfer-Instanzen von 2023.0.0 vor 2023.0.11, von 2023.1.0 vor 2023.1.6 und von 2024.0.0 vor 2024.0.2.
Der Exploit-Code für CVE-2024-5806 wurde nur wenige Stunden, nachdem der Anbieter ein Sicherheitsbulletin zur Schwachstelle veröffentlicht hatte, öffentlich freigegeben, was zu einem Anstieg der Angriffsversuche auf anfällige MOVEit-Installationen führte. Laut den Statistiken von Shadowserver Foundationwurden mindestens 1.800 Instanzen beobachtet, die der Bedrohung ausgesetzt waren.
The watchTowr Forscher identifizierten zwei potenzielle Angriffsszenarien. Im ersten könnte ein Angreifer eine „erzwungene Authentifizierung“ mit einem bösartigen SMB-Server und einem gültigen Benutzernamen ausführen, ermöglicht durch eine Wörterbuchangriffsmethode. Der andere offenbart einen noch gefährlicheren Angriffsablauf, bei dem sich Angreifer als beliebiger Benutzer im System ausgeben können.
Als Abhilfemaßnahmen für CVE-2024-5806 empfiehlt der Anbieter nachdrücklich , dass alle MOVEit Transfer-Kunden, die die Versionen 2023.0, 2023.1 und 2024.0 verwenden, umgehend auf die neueste gepatchte Version aktualisieren.
Während die proaktive Erkennung von Schwachstellenausnutzung eine der obersten Inhaltsprioritäten für Unternehmen ist, die auf beliebte Softwarelösungen angewiesen sind, suchen Verteidiger nach innovativen Wegen, um die Cyber-Resilienz zu steigern. Das vollständige Produktportfolio von SOC Prime basierend auf globaler Bedrohungsintelligenz, Crowdsourcing, Zero-Trust und erweitert durch generative KI ermöglicht Organisationen, aufkommende Cyberangriffe vorauszusehen und die Cyberabwehrfähigkeiten umfassend zu stärken.
