Detecção CVE-2024-5806: Uma Nova Vulnerabilidade de Desvio de Autenticação no Progress MOVEit Transfer Sob Exploração Ativa
Índice:
O cenário de ameaças cibernéticas em junho está esquentando, em grande parte devido à divulgação de novas vulnerabilidades, como CVE-2024-4577 e CVE-2024-29849. Pesquisadores identificaram uma nova vulnerabilidade crítica de autenticação inadequada no Progress MOVEit Transfer rastreada como CVE-2024-5806, que já estava sendo explorada ativamente na prática poucas horas após sua descoberta.
Detectar Tentativas de Exploração CVE-2024-5806
Com MOVEit continuando a ser um alvo atraente para cibercriminosos após os incidentes do ano passado, o potencial de acessar arquivos internos de grandes empresas é altamente atrativo para os adversários. A nova vulnerabilidade no Progress MOVEit Transfer rastreada como CVE-2024-5806 pode levar a uma violação de autenticação, o que representa um desafio crescente para os defensores devido à sua exploração em ataques reais logo após a divulgação da falha. Adversários podem tentar usar a CVE-2024-5806 para obter acesso inicial. A Plataforma SOC Prime para defesa cibernética coletiva lançou uma nova regra Sigma para detectar possíveis tentativas de exploração da CVE-2024-5806. Faça login na Plataforma SOC Prime para acessar instantaneamente o algoritmo de detecção dedicado disponível através de um link abaixo:
Esta regra Sigma está alinhada com o MITRE ATT&CK ®framework, abordando a tática de Acesso Inicial e a técnica de Exploração de Aplicação Voltada ao Público (T1190). Dependendo do seu conjunto tecnológico, a detecção está pronta para ser implantada em dezenas de tecnologias SIEM, EDR e Data Lake.
Para acompanhar o sempre mutante cenário de ameaças e identificar tempestivamente intrusões que exploram vulnerabilidades críticas e zero-days, clique no botão Explorar Detecções para aproveitar a coleção abrangente de conteúdos relevantes do SOC.
Análise CVE-2024-5806
O zero-day angustiante do ano passado CVE-2023-34362 no Progress MOVEit Transfer causou tumulto no cenário de cibersegurança, representando graves riscos de vazamento de dados sensíveis, mesmo para organizações de alto perfil.
A equipe watchTowr recentemente descobriu uma nova vulnerabilidade, CVE-2024-5806, identificada no software Progress MOVEit Transfer. A falha, encontrada no módulo SFTP do produto, permite que invasores contornem a autenticação e obtenham acesso não autorizado a informações sensíveis. A vulnerabilidade afeta instâncias do MOVEit Transfer da versão 2023.0.0 antes da 2023.0.11, da 2023.1.0 antes da 2023.1.6, e da 2024.0.0 antes da 2024.0.2.
O código de exploração CVE-2024-5806 foi divulgado publicamente apenas algumas horas após o fornecedor emitir um boletim de segurança reconhecendo a falha, resultando em um aumento de tentativas de ataque em instalações vulneráveis do MOVEit. De acordo com as estatísticas da Shadowserver Foundation, pelo menos 1.800 instâncias foram observadas como expostas à ameaça.
The os pesquisadores da watchTowr identificaram dois possíveis cenários de ataque. No primeiro, um atacante poderia executar uma “autenticação forçada” usando um servidor SMB malicioso e um nome de usuário válido, facilitado por um método de ataque por dicionário. O outro revela um fluxo de ataque mais perigoso, permitindo que os adversários se passem por qualquer usuário no sistema. researchers identified two potential attack scenarios. In the first one, an attacker could execute a “forced authentication” using a malicious SMB server and a valid username, facilitated by a dictionary-attack method. The other reveals a more perilous attack flow, giving adversaries the green light to masquerade as any user on the system.
Como medidas de mitigação da CVE-2024-5806, o fornecedor recomenda fortemente que todos os clientes do MOVEit Transfer que usam as versões 2023.0, 2023.1 e 2024.0 atualizem prontamente para a versão mais recente corrigida.
Embora a detecção proativa de exploração de vulnerabilidades continue sendo uma das principais prioridades de conteúdo para empresas que dependem de soluções de software populares, os defensores buscam maneiras inovadoras de melhorar a resiliência cibernética. O conjunto completo de produtos da SOC Prime baseado em inteligência de ameaças global, crowdsourcing, confiança zero, e estendido por inteligência artificial generativa, permite que as organizações antecipem emergentes ataques cibernéticos e fortaleçam as capacidades de defesa cibernética em escala.
