CISA agregó un error de seguridad explotado activamente en la solución de transferencia de archivos administrada (MFT) Progress MOVEit Transfer a su lista de vulnerabilidades explotadas conocidas, ordenando a las agencias federales de EE. UU. Parchar sus sistemas antes del 23 de junio.
La falla crítica (registrada como CVE-2023-34362) es una vulnerabilidad de inyección SQL que permite a atacantes remotos no autenticados obtener acceso a la base de datos de MOVEit Transfer y ejecutar código arbitrario.
De acuerdo con la directiva operativa vinculante de noviembre de 2022 (BOD 22-01), las Agencias del Poder Ejecutivo Civil Federal (FCEB) deben parchear esta vulnerabilidad de seguridad una vez que se agregue al catálogo de Vulnerabilidades Explotadas Conocidas de CISA.
Si bien BOD 22-01 se enfoca principalmente en las agencias federales, se recomienda encarecidamente que las empresas privadas también den prioridad a la protección de sus sistemas contra esta falla de MOVEit Transfer que se explota activamente.
Progress aconseja a todos los clientes que parcheen sus instancias de MOVEit Transfer para bloquear los intentos de explotación y posibles infracciones.
Aquellos que no puedan aplicar actualizaciones de seguridad de inmediato también pueden deshabilitar todo el tráfico HTTP y HTTPS a sus entornos de transferencia MOVEit para controlar la superficie de ataque.
Puede encontrar la lista de versiones de MOVEit Transfer afectadas y las versiones corregidas en la tabla incrustada a continuación.
Actualmente, hay más de 2500 servidores MOVEit Transfer en Internet, la mayoría de los cuales se encuentran en los Estados Unidos.
Los actores de amenazas han estado explotando CVE-2023-34362 como una vulnerabilidad de día cero desde al menos el 27 de mayo, según el CTO de Mandiant, Charles Carmakal, cuatro días antes de que Progress lo revelara públicamente y comenzara a probar parches de seguridad para sistemas vulnerables.
«Se ha producido una explotación masiva y un amplio robo de datos en los últimos días», dijo Carmakal a BleepingComputer.
«Aunque Mandiant aún no conoce la motivación del actor de amenazas, las organizaciones deben prepararse para una posible extorsión y publicación de los datos robados».
Explotado para soltar shells web y robar datos
Se le ha dicho a BleepingComputer que varias organizaciones ya han sido violadas y sus datos robados con la ayuda de un shell web recién descubierto (llamado LemurLoot por Mandiant).
LemurLoot ayuda a los atacantes a recopilar información de la cuenta de Azure Blob Storage, incluidas las credenciales que se pueden usar para extraer datos de los contenedores de Azure Blob Storage de las víctimas.
Mandiant también encontró posibles vínculos entre los ataques dirigidos a los servidores MOVEit Transfer y el grupo de amenazas motivado financieramente FIN11, conocido por los intentos de extorsión por robo de datos a través del sitio de fugas de la banda de ransomware Clop tras la explotación de los días cero en otros sistemas de transferencia de archivos.
Hasta el momento, se desconoce la identidad de los atacantes, ya que aún no han comenzado a extorsionar a sus víctimas.
Sin embargo, el método de explotación tiene un parecido notable con instancias anteriores, incluida la explotación de día cero de los servidores Accellion FTA en diciembre de 2020 y la explotación masiva de un día cero de GoAnywhere MFT en enero de 2023.
Tanto GoAnywhere MFT como Accellion FTA son plataformas de transferencia de archivos administradas que fueron atacadas por la notoria banda de ransomware Clop para robar datos y extorsionar a las víctimas.
