NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.03 #############################

Titel           : Kwetsbaarheid verholpen in MOVEit Transfer
Advisory ID     : NCSC-2023-0299
Versie          : 1.03
Kans            : high
CVE ID          : CVE-2023-35708
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : high
                  Toegang tot gevoelige gegevens
                  Verhoogde gebruikersrechten
Uitgiftedatum   : 20230616
Toepassing      : Progress MOVEit Transfer
Versie(s)       : < 2023.0.3
                  < 2022.1.7
                  < 2022.0.6
                  < 2021.1.6
                  < 2021.0.8
                  < 2020.1.10
Platform(s)     :

Beschrijving
   Progress heeft in een blogpost aangegeven dat er wederom een
   kwetsbaarheid is gevonden in MOVEit Transfer. De kwetsbaarheid stelt
   een ongeauthenticeerde kwaadwillende op afstand in staat verhoogde
   rechten te verkrijgen of gevoelige gegevens te bemachtigen. Van de
   kwetsbaarheid is (nog) niet veel inhoudelijke informatie bekend
   gesteld. Wel heeft Progress updates uitgebracht om de kwetsbaarheid
   te verhelpen.

   Progress heeft ten tijde van schrijven geen verdere technische
   details over de kwetsbaarheid gedeeld, maar adviseert organisaties
   die gebruik maken van MOVEit Transfer om HTTP en HTTPS verkeer naar
   het MOVEit systeem te blokkeren tot de update is ingezet om de
   kwetbaarheid te verhelpen.

   Het NCSC houdt de situatie rondom de kwetsbaarheid in de gaten en
   werkt dit beveiligingsadvies bij wanneer er nieuwe informatie
   beschikbaar komt.

Mogelijke oplossingen
   Progress heeft updates uitgebracht om de kwetsbaarheid te verhelpen
   in MOVEit Transfer 2023.0.3, 2022.1.7, 2022.0.6, 2021.1.6, 2021.0.8
   en 2020.1.10. Voor meer informatie, zie:

   https://community.progress.com/s/article
      /MOVEit-Transfer-Critical-Vulnerability-15June2023

   Op bovenstaande pagina wordt beschreven dat de updates in een zekere
   volgorde dienen te worden geinstalleerd. Deze volgorde hangt af van
   welke updates eerder zijn geinstalleerd.

   Verder stelt het NCSC aanvullende risicobeperkende maatregelen voor:

   * Webapplicatiefirewall instellen.
   Door MOVEit Transfer achter een webapplicatiefirewall (WAF) te
   plaatsen kunnen bepaalde typen aanvallen mogelijk voorkomen worden.
   Het inrichten van een WAF brengt wel de nodige beheerinspanning met
   zich mee.

   * IP-allowlist.
   Het alleen toestaan van verbindingen vanaf bekende IP-adressen is
   een effectieve methode tegen onbekende aanvallers van buitenaf. Dit
   brengt wel een administratieve inspanning met zich mee en vereist
   ook dat het mogelijk is om van alle gebruikers de IP-adressen vast
   te leggen.

   * Extra authenticatielaag.
   Het toepassen van een extra authenticatielaag voor MOVEit Transfer
   is een extra maatregel om te voorkomen dat onbekende kwaadwillenden
   de kwetsbaarheid uitbuiten. Dit kan bijvoorbeld gerealiseerd worden
   met een reverse proxy die inloggen middels basic HTTP authentication
   vereist.

   * Blokkeer poort 80 en 443 voor verbindingen van buitenaf.
   Door het blokkeren van poort 80 en 443 kan externe toegang tot de
   HTTP-interface van MOVEit Transfer ontzegd worden. Dit verkleint het
   aanvalsoppervlak aanzienlijk, maar heeft wel als gevolg dat MOVEit
   Transfer van buitenaf alleen nog via SFTP en FTP/s benaderbaar is.

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=YkPY
-----END PGP SIGNATURE-----