Microsoft ha vinculado oficialmente la explotación activa en curso de una falla crítica en la aplicación Progress Software MOVEit Transfer a un actor de amenazas que rastrea como Tempestad de encaje.
«La explotación a menudo es seguida por la implementación de un shell web con capacidades de exfiltración de datos», el equipo de Microsoft Threat Intelligence dicho en una serie de tweets hoy. «CVE-2023-34362 permite a los atacantes autenticarse como cualquier usuario».
Lace Tempest, también llamado Storm-0950, es un afiliado de ransomware que se superpone con otros grupos como FIN11, TA505 y Evil Corp. También se sabe que opera el sitio de extorsión Cl0p.
El actor de amenazas también tiene un historial de explotación de diferentes fallas de día cero para desviar datos y extorsionar a las víctimas, y el grupo observó recientemente que utilizaba como arma un error grave en los servidores de PaperCut.
CVE-2023-34362 se relaciona con una vulnerabilidad de inyección SQL en MOVEit Transfer que permite a atacantes remotos no autenticados obtener acceso a la base de datos y ejecutar código arbitrario.
Se cree que hay al menos más de 3000 hosts expuestos que utilizan el servicio MOVEit Transfer, según datos de la empresa de gestión de superficie de ataque Censys.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
Mandiant, propiedad de Google, que está rastreando la actividad bajo el alias UNC4857 y ha etiquetado el caparazón web LEMURLOOT, dijo que identificó amplias conexiones tácticas con FIN11.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), la semana pasada, agregó la falla a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), recomendando a las agencias federales que apliquen los parches proporcionados por los proveedores antes del 23 de junio de 2023.
El desarrollo sigue a la explotación masiva similar de día cero de los servidores Accellion FTA en diciembre de 2020 y GoAnywhere MFT en enero de 2023, por lo que es imperativo que los usuarios apliquen los parches lo antes posible para protegerse contra posibles riesgos.