Progress Software, la empresa detrás de la aplicación MOVEit Transfer, ha lanzado parches para abordar nuevas vulnerabilidades de inyección SQL que afectan a la solución de transferencia de archivos y que podrían permitir el robo de información confidencial.
«Se han identificado múltiples vulnerabilidades de inyección de SQL en la aplicación web MOVEit Transfer que podrían permitir que un atacante no autenticado obtenga acceso no autorizado a la base de datos de MOVEit Transfer», dijo la empresa. dicho en un aviso publicado el 9 de junio de 2023.
«Un atacante podría enviar una carga útil manipulada a un punto final de la aplicación MOVEit Transfer, lo que podría resultar en la modificación y divulgación del contenido de la base de datos de MOVEit».
Las fallas, que afectan a todas las versiones del servicio, se solucionaron en las versiones 2021.0.7 (13.0.7), 2021.1.5 (13.1.5), 2022.0.5 (14.0.5), 2022.1.6 (14.1) de MOVEit Transfer .6), y 2023.0.2 (15.0.2). Todo Instancias en la nube de MOVEit han sido parcheados por completo.
La firma de ciberseguridad Huntress ha sido acreditado con el descubrimiento y el informe de las vulnerabilidades como parte de una revisión de código. Progress Software dijo que no ha observado indicios de que las fallas recién descubiertas se exploten en la naturaleza.
El desarrollo se produce cuando la vulnerabilidad MOVEit Transfer informada anteriormente (CVE-2023-34362) ha sido objeto de una fuerte explotación para colocar shells web en sistemas específicos.
La actividad se ha atribuido a la notoria banda de ransomware Cl0p, que tiene un historial de organización de campañas de robo de datos y explotación de errores de día cero en varias plataformas de transferencia de archivos gestionadas desde diciembre de 2020.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
La firma de investigación corporativa y consultoría de riesgos Kroll también encontró evidencia de que la pandilla de delitos cibernéticos había estado experimentando con formas de explotar CVE-2023-34362 desde julio de 2021, así como ideando métodos para extraer datos de servidores MOVEit comprometidos desde al menos abril de 2022. .
Se dice que gran parte de la actividad maliciosa de reconocimiento y prueba en julio de 2021 fue de naturaleza manual, antes de cambiar a un mecanismo automatizado en abril de 2022 para sondear múltiples organizaciones y recopilar información.
«Parece que los actores de la amenaza Clop tenían el exploit MOVEit Transfer completado en el momento del evento GoAnywhere y optaron por ejecutar los ataques secuencialmente en lugar de en paralelo», dijo la compañía. «Estos hallazgos resaltan la planificación y preparación significativas que probablemente preceden a los eventos de explotación masiva».
Los actores de Cl0p también emitieron un aviso de extorsión a las empresas afectadas, instándolas a contactar al grupo antes del 14 de junio de 2023, o publicar la información robada en el sitio de fuga de datos.