Se supo que durante la auditoría de la solución para gestionar la transferencia de archivos MOVEit Transfer, Se descubrieron nuevas vulnerabilidades críticas.. Previamente, debido a la explotación de un 0-día vulnerabilidad en Transferencia MOVEit, cientos de empresas ya han sido comprometidas, y la piratería ha afectado a gigantes como British Airways y el bbc.
Fondo
Una vulnerabilidad de día 0 (CVE-2023-34362) en la solución de gestión de transferencia de archivos MOVEit Transfer fue descubierto a principios de junio 2023. Todas las versiones de MOVEit Transfer se vieron afectadas por el problema, y se informó que los ataques contra ellos comenzaron ya en mayo. 27, 2023. El error fue una inyección SQL que conduce a la ejecución remota de código.. Por ejemplo, La explotación de una vulnerabilidad puede conducir a una escalada de privilegios y otorgar a terceros acceso no autorizado al entorno de MOVEit Transfer..
Los atacantes utilizaron la vulnerabilidad para implementar shells web personalizados en los servidores afectados, permitiéndoles enumerar archivos almacenados en el servidor, descargar archivos, y robar Almacenamiento de blobs de Azure credenciales y secretos de la cuenta, incluida la cuenta AzureBlobStorage, Clave de AzureBlob, y configuración de AzureBlobContainer. Microsoft analistas han relacionado estos ataques con la Clope grupo de pirateo de ransomware (alias Tempestad de encaje, TA505, FIN11, o DESARROLLO-0950). Este grupo es conocido por el hecho de que Los operadores de ransomware Clop filtraron datos de dos universidades.
Los desarrolladores de MOVEit reaccionan a las vulnerabilidades
Pronto se supo que un total de cientos de empresas se vieron comprometidas durante los ataques, y el hack fue confirmado por la aerolínea irlandesa Aer Lingus, British Airways, la BBC y la cadena de farmacias británica Botas. Ahora desarrolladores de MOVEit Transfer han advertido a los clientes sobre nuevas vulnerabilidades críticas en su producto de gestión de transferencia de archivos. Se encontraron nuevos errores durante una auditoría de seguridad, cual, después de ataques masivos, fue realizado por expertos de la Cazadora compañía.
Según el fabricante, las nuevas vulnerabilidades son inyecciones SQL y afectan a todas las versiones de MOVEit Transfer, permitir a atacantes no autenticados piratear servidores accesibles a Internet, cambiar o robar información del usuario.
Los desarrolladores señalan que todos los clústeres de MOVEit Cloud ya han recibido nuevas correcciones que los han protegido de posibles intentos de ataque..
También vale la pena señalar que un exploit PoC para la vulnerabilidad de día cero original (CVE-2023-34362) apareció recientemente, que inició ataques masivos a los clientes de MOVEit Transfer. la hazaña, así como un análisis técnico detallado de la vulnerabilidad y una lista de indicadores de compromiso que los defensores de la red pueden utilizar para detectar la explotación de un error en servidores vulnerables., fueron publicados por investigadores de Horizonte3. Los expertos en seguridad de la información advierten que tras la publicación de este exploit, Es probable que más atacantes lo utilicen en ataques o creen sus propias versiones para atacar servidores sin parches que todavía están disponibles en Internet..
