Brecha de día cero de MOVEit: la cuenta regresiva está en marcha

13 de junio de 2023
| No hay comentarios
Brecha de día cero de MOVEit: la cuenta regresiva está en marcha

Compartir publicación

La semana pasada, Progress Software informó una vulnerabilidad de seguridad crítica (CVE-2023-34362) en su producto MOVEit Transfer y las soluciones en la nube MOVEit relacionadas. El grupo APT CLOP, que también emitió un ultimátum hasta el 14.06 de junio, realizó ataques masivos y robo de datos sobre el software que suele utilizarse en todo el mundo.

Como sugiere el nombre, MOVEit Transfer es un sistema que permite almacenar y compartir archivos fácilmente en un equipo, departamento, empresa o incluso en una cadena de suministro. El software también es utilizado por la AOK, por ejemplo. En el caso actual, resultó que la interfaz web de MOVEit, que permite compartir y administrar archivos a través de un navegador web, tiene una vulnerabilidad de inyección SQL. Este tipo de intercambio de archivos es muy popular, ya que generalmente se considera que el proceso es menos propenso a archivos mal dirigidos o "perdidos" que el intercambio de correo electrónico.

buenas y malas noticias

La buena noticia en este caso es que Progress parchó todas las versiones compatibles de MOVEit, así como su servicio basado en la nube, tan pronto como la empresa se dio cuenta de la vulnerabilidad. Los clientes que utilizan la versión en la nube se actualizan automáticamente. Las versiones que se ejecutan en su propia red deben parchearse activamente. Los clientes de MOVEit deben ejecutar un análisis de compromiso ADEMÁS de instalar el parche. La aplicación de parches por sí sola NO es suficiente.

La mala noticia es que esta vulnerabilidad era de día cero, lo que significa que Progress se enteró porque los ciberdelincuentes ya la habían explotado. En otras palabras, antes de que se publique el parche, es posible que las bases de datos back-end de MOVEit SQL ya hayan sido inyectadas con comandos fraudulentos, con una serie de posibles consecuencias:

  • Eliminación de datos existentes: El resultado clásico de un ataque de inyección SQL es la destrucción de datos a gran escala.
  • Exfiltración de datos existentes: En lugar de eliminar tablas SQL, los atacantes podrían inyectar sus propias consultas y así no solo aprender la estructura de las bases de datos internas, sino también extraer y robar partes importantes.
  • Cambio de datos existentes: Los atacantes pueden elegir corromper o destruir datos en lugar de robarlos.
  • Implantación de nuevos archivos, incluido malware: Los atacantes podrían inyectar comandos SQL, que a su vez ejecutan comandos de sistemas externos, lo que permite la ejecución de código remoto arbitrario dentro de una red.

Un grupo de atacantes que Microsoft cree que son (o están asociados con) la infame banda de ransomware CLOP aparentemente ya han explotado esta vulnerabilidad para inyectar los llamados webshells en los servidores afectados.

¿Qué hacer para tener más seguridad?

  • Si es usuario de MOVEit, asegúrese de que todas las instancias del software en su red estén parcheadas.
  • Si no puede parchear en este momento, apague las interfaces basadas en web (HTTP y HTTPS) de sus servidores MOVEit hasta que pueda. Aparentemente, esta vulnerabilidad solo se revela a través de la interfaz web de MOVEit, no a través de otras rutas de acceso como SFTP.
  • Verifique sus registros en busca de archivos del servidor web recién agregados, cuentas de usuario recién creadas y descargas de datos inesperadamente grandes. Progress tiene una lista de lugares para buscar, junto con los nombres de archivo y lugares para buscar.
  • Si eres programador, limpia tus entradas.
  • Si es programador de SQL, use consultas parametrizadas en lugar de generar comandos de consulta que contengan caracteres controlados por la persona que envía la consulta.

En muchos, si no en la mayoría, de los ataques basados ​​en webshell examinados hasta la fecha, Progress sospecha que es probable que se encuentre un archivo webshell no autorizado llamado human2.aspx, posiblemente junto con archivos maliciosos recién creados con una extensión .cmdline. Los productos de Sophos detectan y bloquean los archivos webshell conocidos como Troj/WebShel-GO, se llamen human2.aspx o no.

Sin embargo, es importante recordar que si otros atacantes sabían sobre este día cero antes del lanzamiento del parche, es posible que hayan inyectado comandos diferentes y más sutiles. Es posible que no se detecten simplemente escaneando en busca de malware residual o buscando nombres de archivos conocidos que puedan aparecer en los registros.

Cuenta regresiva hasta el 14.06.2023/XNUMX/XNUMX

El El grupo CLOP ha lanzado un ultimátum a todas las empresas que han sido atacadas por el grupo APT: Las empresas deben informar por correo electrónico a direcciones de correo electrónico específicas. Después de eso, recibirían un correo electrónico con un enlace a una sala de chat. Allí deberían negociar la demanda de rescate. Cualquiera que no cumpla será ridiculizado por CLOP: es decir, el nombre de la empresa se publicará primero. Luego también quieren publicar partes de los datos capturados para aumentar la presión.

Más en Sophos.com

 

Acerca de Sophos

Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.

 

Artículos relacionados con el tema

Plataforma de ciberseguridad con protección para entornos 5G

Trend Micro, especialista en ciberseguridad, presenta su enfoque basado en plataformas para proteger la superficie de ataque en constante expansión de las organizaciones, incluida la seguridad. ➡ Leer más

Manipulación de datos, el peligro subestimado

Cada año, el Día Mundial de la Copia de Seguridad, el 31 de marzo, sirve como recordatorio de la importancia de tener copias de seguridad actualizadas y de fácil acceso. ➡ Leer más

Las impresoras como riesgo de seguridad

Las flotas de impresoras corporativas se están convirtiendo cada vez más en un punto ciego y plantean enormes problemas para su eficiencia y seguridad. ➡ Leer más

La Ley de IA y sus consecuencias para la protección de datos

Con la AI Act, se aprobó la primera ley para la IA y otorga a los fabricantes de aplicaciones de IA entre seis meses y ➡ Leer más

MDR y XDR a través de Google Workspace

Ya sea en una cafetería, en una terminal de aeropuerto o en la oficina en casa, los empleados trabajan en muchos lugares. Sin embargo, este desarrollo también trae desafíos ➡ Leer más

Sistemas operativos Windows: casi dos millones de ordenadores en riesgo

Ya no hay actualizaciones para los sistemas operativos Windows 7 y 8. Esto significa abrir brechas de seguridad y, por lo tanto, valer la pena y ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

Conjunto de productos DSPM para seguridad de datos Zero Trust

La gestión de la postura de seguridad de los datos (DSPM para abreviar) es crucial para que las empresas garanticen la resiliencia cibernética frente a la multitud. ➡ Leer más

Noticias de prensa
, , , , , ,