Una falla cr\u00edtica en la aplicaci\u00f3n de transferencia de archivos administrada MOVEit Transfer de Progress Software ha sido objeto de una explotaci\u00f3n generalizada en la naturaleza para hacerse cargo de los sistemas vulnerables.<\/p>\n
La deficiencia, a la que a\u00fan no se le ha asignado un identificador CVE, se relaciona con una grave vulnerabilidad de inyecci\u00f3n de SQL que podr\u00eda conducir a una escalada de privilegios y un posible acceso no autorizado al entorno.<\/p>\n
“Se ha encontrado una vulnerabilidad de inyecci\u00f3n SQL en la aplicaci\u00f3n web MOVEit Transfer que podr\u00eda permitir que un atacante no autenticado obtenga acceso no autorizado a la base de datos de MOVEit Transfer”, dijo la empresa. dicho<\/a>.<\/p>\n “Dependiendo del motor de la base de datos que se utilice (MySQL, Microsoft SQL Server o Azure SQL), un atacante puede inferir informaci\u00f3n sobre la estructura y el contenido de la base de datos adem\u00e1s de ejecutar declaraciones SQL que alteran o eliminan elementos de la base de datos”.<\/p>\n La empresa con sede en Massachusetts, que tambi\u00e9n es propietaria de Telerik, ha puesto a disposici\u00f3n parches para el error en las siguientes versiones: 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4 ), 2022.1.5 (14.1.5) y 2023.0.1 (15.0.1).<\/p>\n El desarrollo fue reportado por primera vez por computadora pitido<\/a>. De acuerdo a Cazadora<\/a> y r\u00e1pido7<\/a>aproximadamente 2500 instancias de MOVEit Transfer estuvieron expuestas a la Internet p\u00fablica al 31 de mayo de 2023, la mayor\u00eda de ellas ubicadas en los EE. UU.<\/p>\n Los intentos de explotaci\u00f3n exitosos culminan con la implementaci\u00f3n de un shell web, un archivo llamado “human2.aspx” en el directorio “wwwroot” que se crea a trav\u00e9s de un script con un nombre de archivo aleatorio, para “exfiltrar varios datos almacenados por el servicio MOVEit local”.<\/p>\n El shell web tambi\u00e9n est\u00e1 dise\u00f1ado para agregar nuevas sesiones de cuenta de usuario administrador con el nombre “Servicio de verificaci\u00f3n de estado” en un esfuerzo probable por eludir la detecci\u00f3n, un an\u00e1lisis<\/a> del cadena de ataque<\/a> ha revelado.<\/p>\n Empresa de inteligencia de amenazas GreyNoise dicho<\/a> “Observ\u00f3 actividad de escaneo para la p\u00e1gina de inicio de sesi\u00f3n de MOVEit Transfer ubicada en \/human.aspx desde el 3 de marzo de 2023”, y agreg\u00f3 que se detectaron cinco direcciones IP diferentes “intentando descubrir la ubicaci\u00f3n de las instalaciones de MOVEit”.<\/p>\n \ud83d\udd10 Dominio de la seguridad de API: comprensi\u00f3n de su verdadera superficie de ataque<\/p>\n Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n \u00danase a la sesi\u00f3n<\/a><\/div>\n “Si bien no conocemos los detalles del grupo detr\u00e1s de los ataques de d\u00eda cero que involucran a MOVEit, esto subraya una tendencia preocupante de los actores de amenazas que se enfocan en las soluciones de transferencia de archivos”, dijo Satnam Narang, ingeniero senior de investigaci\u00f3n de Tenable.<\/p>\n El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a emitir una alerta<\/a>instando a los usuarios y organizaciones a seguir los pasos de mitigaci\u00f3n para protegerse contra cualquier actividad maliciosa.<\/p>\n Tambi\u00e9n se recomienda aislar los servidores bloqueando el tr\u00e1fico entrante y saliente e inspeccionar los entornos en busca de posibles indicadores de compromiso (IoC) y, de ser as\u00ed, eliminarlos antes de aplicar las correcciones.<\/p>\n “Si vuelve a ser un grupo de ransomware, este ser\u00e1 el segundo d\u00eda cero empresarial MFT en un a\u00f1o, cl0p se volvi\u00f3 loco con GoAnywhere recientemente”, dijo el investigador de seguridad Kevin Beaumont. dicho<\/a>.<\/p>\n <\/p>\n![\"Transferencia](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEi2ygM0spyX-Rdueu4N0nlOIxA4pOyirKml82ob6n5oddPN4sUhF3aS5dFzvDChPuczXFF4mBdnfu3WHDDEmcvT3ylIl3Q1wtb7nlaSLLhDHb0VtBrnI3kBzUJ9jWZ1IyKRvu9K7refn1a1FVLtFlfQEIglyWd56nNW7H6xw8P9AWw9slzZJfHiu9rT\/s728-e3650\/shodan.jpg\" "\\"Transferencia")
<\/div>\n