Ya se está detectando una falla de seguridad crítica recientemente revelada que afecta a Progress Software MOVEit Transfer intentos de explotación en la naturaleza poco después de que se revelaran públicamente los detalles del error.
La vulnerabilidad, rastreada como CVE-2024-5806 (puntaje CVSS: 9.1), se refiere a una omisión de autenticación que afecta a las siguientes versiones:
- Desde 2023.0.0 antes de 2023.0.11
- Desde 2023.1.0 antes de 2023.1.6, y
- Desde 2024.0.0 antes de 2024.0.2
«Una vulnerabilidad de autenticación incorrecta en Progress MOVEit Transfer (módulo SFTP) puede provocar una omisión de autenticación», la empresa dicho en un aviso publicado el martes.
El progreso también ha dirigido otra vulnerabilidad crítica de omisión de autenticación asociada a SFTP (CVE-2024-5805, puntuación CVSS: 9.1) que afecta a MOVEit Gateway versión 2024.0.0.
La explotación exitosa de las fallas podría permitir a los atacantes eludir la autenticación SFTP y obtener acceso a los sistemas MOVEit Transfer y Gateway.
Desde entonces, watchTowr Labs ha publicado detalles técnicos adicionales sobre CVE-2024-5806, y los investigadores de seguridad Aliz Hammond y Sina Kheirkhah señalaron que podría utilizarse como arma para suplantar a cualquier usuario en el servidor.
La empresa de ciberseguridad describió además la falla como compuesta por dos vulnerabilidades separadas, una en Progress MOVEit y la otra en la biblioteca SSH de IPWorks.
«Si bien la vulnerabilidad más devastadora, la capacidad de hacerse pasar por usuarios arbitrarios, es exclusiva de MOVEit, la vulnerabilidad de autenticación forzada menos impactante (pero aún muy real) probablemente afecte a todas las aplicaciones que utilizan el servidor SSH de IPWorks», dijeron los investigadores. dicho.
Progress Software dijo que la deficiencia en el componente de terceros «aumenta el riesgo del problema original» si no se corrige, e insta a los clientes a seguir los dos pasos siguientes:
- Bloquear el acceso RDP entrante público a los servidores de MOVEit Transfer
- Limite el acceso saliente únicamente a los puntos finales confiables conocidos desde los servidores de transferencia MOVEit
Según Rapid7, hay tres requisitos previos para aprovechar CVE-2024-5806: los atacantes deben tener conocimiento de un nombre de usuario existente, la cuenta objetivo puede autenticarse de forma remota y el servicio SFTP es de acceso público a través de Internet.
Al 25 de junio, datos recopilados por Censys muestra que hay alrededor de 2700 instancias de MOVEit Transfer en línea, la mayoría de ellas ubicadas en EE. UU., Reino Unido, Alemania, Países Bajos, Canadá, Suiza, Australia, Francia, Irlanda y Dinamarca.
Con otro problema crítico en MOVEit Transfer ampliamente abusado En una serie de ataques de ransomware Cl0p el año pasado (CVE-2023-34362, puntuación CVSS: 9,8), es esencial que los usuarios actúen rápidamente para actualizar a las últimas versiones.
El desarrollo se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) reveló que su herramienta de evaluación de seguridad química (CSAT) fue atacada a principios de enero por un actor de amenazas desconocido al aprovechar las fallas de seguridad en el dispositivo Ivanti Connect Secure (ICS) ( CVE-2023-46805, CVE-2024-21887 y CVE-2024-21893).
«Esta intrusión puede haber resultado en un posible acceso no autorizado a encuestas de pantalla superior, evaluaciones de vulnerabilidad de seguridad, planes de seguridad del sitio, presentaciones del Programa de Garantía del Personal (PSP) y cuentas de usuario de CSAT», dijo la agencia. dichoy agregó que no encontró evidencia de exfiltración de datos.