Rilevamento CVE-2024-5806: Una Nuova Vulnerabilità di Bypass dell’Autenticazione in Progress MOVEit Transfer sotto Attacco Attivo
Indice:
Lo scenario delle minacce informatiche a giugno si sta surriscaldando, principalmente a causa della divulgazione di nuove vulnerabilità, come CVE-2024-4577 e CVE-2024-29849. I ricercatori hanno identificato una nuova vulnerabilità critica di autenticazione impropria in Progress MOVEit Transfer tracciata come CVE-2024-5806, già oggetto di sfruttamento attivo in natura poche ore dopo la sua scoperta.
Rilevare tentativi di sfruttamento di CVE-2024-5806
Con MOVEit che rimane un obiettivo succoso per i criminali informatici a seguito degli incidenti dell’anno scorso, il potenziale di accesso ai file interni di grandi imprese è altamente attraente per gli avversari. La nuova vulnerabilità in Progress MOVEit Transfer tracciata come CVE-2024-5806 potrebbe portare al bypass dell’autenticazione, il che rappresenta una sfida crescente per i difensori a causa del suo sfruttamento in attacchi in natura poco dopo la notizia della divulgazione della falla. Gli avversari potrebbero cercare di armare CVE-2024-5806 per ottenere un accesso iniziale. La piattaforma SOC Prime per la difesa informatica collettiva ha rilasciato una nuova regola Sigma per rilevare potenziali tentativi di sfruttamento di CVE-2024-5806. Accedi alla Piattaforma SOC Prime per raggiungere istantaneamente l’algoritmo di rilevamento dedicato disponibile tramite un link di seguito:
Questa regola Sigma è allineata con il quadro MITRE ATT&CK ®, affrontando la tattica dell’Accesso Iniziale e la tecnica dell’Exploiting Public-Facing Application (T1190). A seconda del tuo tech stack, il rilevamento è pronto per essere distribuito a dozzine di tecnologie SIEM, EDR e Data Lake.
Per rimanere aggiornato sul panorama delle minacce in continua evoluzione e identificare tempestivamente intrusioni che sfruttano vulnerabilità critiche e zero-day, clicca il Esplora Rilevamenti pulsante per approfittare della collezione completa di contenuti SOC rilevanti.
Analisi CVE-2024-5806
Lo stressante zero-day dell’anno scorso CVE-2023-34362 in Progress MOVEit Transfer ha causato agitazione nell’arena della cybersecurity, rappresentando gravi rischi di perdita di dati sensibili anche per organizzazioni di alto profilo.
Il team watchTowr ha recentemente scoperto una nuova vulnerabilità, CVE-2024-5806, identificata nel software Progress MOVEit Transfer. Il difetto, riscontrato nel modulo SFTP del prodotto, permette agli attaccanti di bypassare l’autenticazione e ottenere accesso non autorizzato a informazioni sensibili. La vulnerabilità impatta le istanze di MOVEit Transfer dalla versione 2023.0.0 prima della 2023.0.11, dalla 2023.1.0 prima della 2023.1.6, e dalla 2024.0.0 prima della 2024.0.2.
Il codice exploit CVE-2024-5806 è stato rilasciato pubblicamente solo poche ore dopo che il fornitore ha emesso un bollettino di sicurezza riconoscendo la falla, risultando in un’ondata di tentativi di attacco su installazioni MOVEit vulnerabili. Secondo le statistiche della Fondazione Shadowserver, almeno 1.800 istanze sono state osservate esposte alla minaccia.
The i ricercatori watchTowr hanno identificato due potenziali scenari di attacco. Nel primo, un attaccante potrebbe eseguire un'”autenticazione forzata” utilizzando un server SMB malevolo e un nome utente valido, facilitato da un metodo di attacco dizionario. L’altro rivela un flusso di attacco più pericoloso, dando agli avversari il via libera per farsi passare per qualsiasi utente nel sistema. researchers identified two potential attack scenarios. In the first one, an attacker could execute a “forced authentication” using a malicious SMB server and a valid username, facilitated by a dictionary-attack method. The other reveals a more perilous attack flow, giving adversaries the green light to masquerade as any user on the system.
Come misure di mitigazione per CVE-2024-5806, il fornitore raccomanda caldamente che tutti i clienti MOVEit Transfer che utilizzano le versioni 2023.0, 2023.1 e 2024.0 procedano tempestivamente all’aggiornamento all’ultima versione con patch.
Mentre il rilevamento proattivo dello sfruttamento di vulnerabilità rimane una delle massime priorità di contenuto per le imprese che si affidano a soluzioni software popolari, i difensori cercano modi innovativi per migliorare la resilienza informatica. La suite completa di prodotti di SOC Prime basata su intelligence delle minacce globale, crowdsourcing, zero-trust e estesa dall’intelligenza artificiale generativa consente alle organizzazioni di prevenire emergenti attacchi informatici e potenziare le capacità di difesa informatica su larga scala.
