Diante de uma enxurrada de ataques de ransomware atingindo zero dias em sua linha de produtos MOVEit, a Progress Software anunciou na quinta-feira planos para lançar sacos de serviços regulares, prometendo um “processo previsível, simples e transparente para correções de produtos e segurança”.
Menos de um mês depois que a notória gangue de ransomware Cl0p começou a nomear organizações atingidas por explorações de dia zero do MOVEit, a Progress Software lançou seu primeiro service pack com patches para pelo menos três defeitos críticos de segurança que expõem o conteúdo do banco de dados do cliente a invasores mal-intencionados.
“Ouvimos de você que uma cadência regular e um cronograma previsível permitirão que você planeje melhor seus recursos e facilite a adoção de novas atualizações e correções de produtos. Como parte desses Service Packs, também otimizaremos o processo de instalação para tornar o processo de atualização mais simples,” Progress disse em uma nota postado com o primeiro service pack.
Os fornecedores de software geralmente usam um service pack para fornecer uma coleção de atualizações, correções, recursos ou aprimoramentos para um aplicativo. Os service packs são entregues na forma de um único pacote instalável.
A Progress Software disse que os service packs se aplicariam a seus produtos MOVEit, incluindo MOVEit Transfer e MOVEit Automation.
O service pack inicial oferece cobertura para CVE-2023-36934, um bug de gravidade crítica na ferramenta Progress MOVEit Transfer. A empresa a descreveu como uma vulnerabilidade de injeção de SQL que permite que um invasor não autenticado obtenha acesso não autorizado ao banco de dados MOVEit Transfer.
“Um invasor pode enviar uma carga útil criada para um endpoint de aplicativo MOVEit Transfer, o que pode resultar na modificação e divulgação do conteúdo do banco de dados MOVEit”, disse a empresa sobre o bug mais sério.
O service pack também inclui patches para CVE-2023-36932, que abrange várias vulnerabilidades Progress MOVEit Transfer de alta gravidade que permitem que invasores autenticados obtenham acesso não autorizado ao banco de dados MOVEit Transfer. “Um invasor pode enviar uma carga útil criada para um endpoint de aplicativo MOVEit Transfer, o que pode resultar na modificação e divulgação do conteúdo do banco de dados MOVEit”, disse Progress.
O Progress Software também incluiu uma correção para CVE-2023-36933, um bug de alta gravidade que permite que um invasor invoque um método que resulta em uma exceção não tratada. “Acionar este fluxo de trabalho pode fazer com que o aplicativo MOVEit Transfer seja encerrado inesperadamente.”