Nueva y tercera vulnerabilidad de día cero del software MOVEit utilizada para hackear empresas

La innovadora empresa de desarrollo de software Progress descubrió una grave falla de seguridad dentro de su producto MOVEit Transfer. La falla podría permitir que un atacante robe información confidencial. Esta vulnerabilidad se identificó en Progress Moveit Transfer y tiene el potencial de permitir privilegios más altos, así como acceso no permitido. MOVEit Transfer es un programa de transferencia de archivos gestionado que permite a la organización transmitir datos de forma segura entre socios comerciales y clientes mediante cargas basadas en SFTP, SCP y HTTP. El producto fue desarrollado por MOVEit. Un atacante podría entonces instalar programas; leer, modificar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario; dependiendo de los privilegios conectados con el usuario. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema pueden verse menos afectados por el cambio que los usuarios que operan con derechos de usuario administrativos porque las cuentas de esos usuarios están configuradas para tener menos derechos de usuario en el sistema. Una vulnerabilidad de inyección SQL es incluido dentro de la falla recién descubierta, a la que se le ha dado el identificador CVE-2023-35708. Este tipo de vulnerabilidades pueden servir como puntos de entrada a mayores privilegios, abriendo la puerta a la posibilidad de acceso no autorizado al entorno del usuario. El progreso llegó a la conclusión de que el mejor curso de acción sería detener temporalmente el tráfico HTTP para MOVEit Cloud como una reacción agresiva a la vulnerabilidad inesperada. “Instamos a todos y cada uno de ustedes que usan MOVEit Transfer a finalizar de inmediato todas sus conexiones HTTP y HTTPS. “Estamos trabajando diligentemente para completar un parche correctivo, y esta medida preventiva es esencial para fortalecer sus entornos mientras lo hacemos”, dijo un portavoz de Progress. “Instamos a todos y cada uno de ustedes que usan MOVEit Transfer a finalizar de inmediato todas sus conexiones HTTP y HTTPS. “Estamos trabajando diligentemente para completar un parche correctivo, y esta medida preventiva es esencial para fortalecer sus entornos mientras lo hacemos”, dijo un portavoz de Progress. “Instamos a todos y cada uno de ustedes que usan MOVEit Transfer a finalizar de inmediato todas sus conexiones HTTP y HTTPS. “Estamos trabajando diligentemente para completar un parche correctivo, y esta medida preventiva es esencial para fortalecer sus entornos mientras lo hacemos”, dijo un portavoz de Progress.

Progress recomienda enfáticamente realizar un ajuste temporal a las reglas del firewall en el ínterin antes de la entrega de actualizaciones de seguridad para las versiones afectadas de MOVEit Transfer. Esta contramedida eficaz incluiría el bloqueo de las conexiones HTTP y HTTPS a MOVEit Transfer en los puertos 80 y 443, respectivamente. Como resultado directo de esto, se interrumpiría el acceso del usuario a través de la interfaz de usuario web; sin embargo, las transferencias de archivos continuarían funcionando correctamente como resultado del funcionamiento continuo de los protocolos SFTP y FTP/s.

La capacidad de acceder a MOVEit Transfer a través del servidor de Windows todavía está disponible para los administradores, y pueden hacerlo conectándose de forma remota y navegando a la dirección https://localhost/.

Solo ha pasado una semana después de que Progress revelara otro conjunto de vulnerabilidades de inyección SQL que se rastrean con el nombre CVE-2023-35036, y ahora ha surgido una exposición a una posible explotación cibernética conocida como CVE-2023-35708. Según los informes, estas vulnerabilidades brindan una oportunidad importante para que los usuarios no autorizados accedan al contenido de la base de datos de la aplicación.

La reconocida vulnerabilidad CVE-2023-34362, que fue utilizada como un día cero por el sindicato de ransomware Clop en sus embestidas de robo de datos, se ha agregado a la lista de vulnerabilidades.

Una investigación realizada por expertos para analizar la superficie de ataque de los dispositivos conectados a Internet encontró que el sector de servicios financieros alberga aproximadamente el 31 por ciento de los más de 1400 hosts vulnerables que ejecutan MOVEit. La industria de la tecnología de la información ocupa el segundo lugar con un 9 %, seguida por los sectores gubernamental y militar, que representan un 8 %, y la industria de la salud, que ocupa el tercer lugar con un 16 %. El hecho de que más del 80% de estos servidores estén ubicados en los Estados Unidos es bastante preocupante y destaca el alcance generalizado de esta vulnerabilidad.

RECOMENDACIONES :

Además de las sugerencias de medidas correctivas realizadas por Progress, sugerimos que se lleven a cabo las siguientes actividades:

Apague todo el tráfico a su entorno de MOVEit Transfer que usa HTTP y HTTPS hasta que haya una solución disponible.
En los sistemas que son susceptibles, inmediatamente después de realizar las pruebas adecuadas, aplique los parches necesarios y las soluciones provisionales proporcionadas por Progress.