Сегодня 21 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В защищённом файлообменнике MOVEit нашли новую критическую уязвимость — это угрожает многим компаниям

В прошлом году уязвимость утилиты защищённого файлообмена MOVEit поставила под угрозу множество крупных компаний по всему миру, в том числе экспертов по кибербезопасности. Теперь в одном из компонентов программы обнаружена новая уязвимость с критическим рейтингом.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

Утилита MOVEit, продажей которой занимается Progress Software, предназначается для предприятий и позволяет производить обмен файлами с использованием различных технологий, в том числе SFTP, SCP и HTTP в соответствии с требованиями стандартов безопасности. По различным оценкам, в интернете развёрнуты от 1800 до 2700 доступных извне файлообменных сетей MOVEit, которым пользуются компании. В прошлом году из-за критической уязвимости MOVEit были скомпрометированы более 2300 частных и государственных организаций, включая реестр рождаемости канадской провинции Онтарио, в результате чего была допущена утечка персональных данных 3,4 млн человек.

В минувший вторник Progress Software раскрыла информацию об уязвимости CVE-2024-5806, которая позволяет потенциальным злоумышленникам обходить средства аутентификации и получать доступ к конфиденциальным данным. Уязвимость относится к модулю SFTP MOVEit и имеет рейтинг 9,1 из 10 (критическая). Разработчик 11 июня выпустил обновления программы и порекомендовал оперативно установить их: как выяснили эксперты Shadowserver, уже через несколько часов после раскрытия информации об уязвимости были зафиксированы попытки её эксплуатации.

Вдобавок исследователи watchTowr описали связанную с этой уязвимостью альтернативную схему атаки, позволяющую злоумышленникам получать криптографические хеши, при помощи которых маскируются пароли пользователей. Для её осуществления требуется подконтрольный злоумышленнику SMB-сервер и действительное имя пользователя — подобрать его бывает относительно несложно. Атака может производиться через библиотеку IPWorks SSH, которая также включена в MOVEit. Разработчик признал, что «хотя исправление, распространённое Progress 11 июня, успешно устраняет проблему, выявленную с CVE-2024-5806, эта недавно обнаруженная сторонняя уязвимость представляет новую угрозу». Для защиты от потенциального взлома пользователям системы файлообмена рекомендовано заблокировать входящий RDP-доступ к серверам MOVEit, а также ограничить исходящий доступ с серверов MOVEit лишь доверенными конечными точками.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
В Екатеринбурге прошло PG BootCamp Russia — четвёртое официальное мероприятие российского сообщества PostgreSQL 44 мин.
Бета-версия футбольного экшена Rematch от создателей Sifu стала хитом — тестирование привлекло более миллиона игроков 3 ч.
Дуров раскрыл, что может его заставить закрыть Telegram 3 ч.
ОАЭ первой в мире привлечёт ИИ к написанию законов 3 ч.
Instagram начнёт выявлять аккаунты подростков с помощью ИИ — обмануть систему не получится 4 ч.
Valorant выйдет на мобильных устройствах, но пока только в Китае 5 ч.
OpenAI заподозрили в манипуляциях с тестами мощной ИИ-модели o3 7 ч.
Олдскульная стратегия Tempest Rising в духе Command & Conquer из-за ошибки вышла на неделю раньше запланированного — издатель смирился с этим 8 ч.
Европейский регулятор случайно раскрыл планы Ubisoft на Assassin’s Creed Shadows для Nintendo Switch 2 9 ч.
Российские пираты предпочитают доменную зону .RU остальным 10 ч.
В 2024 году дата-центры Apple потребили 2,5 ТВт∙ч «зелёного» электричества, но есть нюанс 14 мин.
Nothing рассекретила дизайн смартфона CMF Phone 2 Pro в преддверии анонса 20 мин.
«Голосовое протезирование с ИИ» превратит мозговые волны немых людей в беглую речь 22 мин.
Представлен флагманский камерофон Vivo X200 Ultra с 35-мм камерой и съёмным 200-мм объективом — от $890 2 ч.
Смартфоны получат этикетки с данными об автономности и не только — ЕС вводит экомаркировку 2 ч.
Для российских исследователей будут созданы суперкомпьютерный центр и роботизированные лаборатории 2 ч.
«АвтоВАЗ» взял на работу поющего робота-тележку «Антонину» 2 ч.
Deloitte: АЭС смогут обеспечить 10 % будущего спроса ЦОД США на электроэнергию, но строить их придётся быстрее 3 ч.
Oppo представила недорогой смартфон Oppo K13 со Snapdragon 6 Gen 4, 50-Мп камерой и батарей на 7000 мА·ч 3 ч.
«Чудо-долина» для ИИ — в Канаде построят крупнейший в мире 7,5-ГВт ЦОД с питанием от природного газа 3 ч.