ClickCease MOVEit Transfer atacado por un exploit de día cero

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

MOVEit Transfer atacado por un exploit de día cero

por

16 de junio de 2023 - Equipo de RRPP de TuxCare

Los investigadores de seguridad de Rapid7 han descubierto que los actores de la amenaza están explotando una vulnerabilidad de día cero en el producto MOVEit Transfer de Progress Software, ampliamente utilizado por las empresas para la transferencia segura de archivos. Los ciberdelincuentes aprovechan una vulnerabilidad de inyección SQL (CVE-2023-34362) para obtener acceso no autorizado a la base de datos del producto.

La vulnerabilidad permite a atacantes no autentificados infiltrarse en la base de datos de MOVEit Transfer, pudiendo ejecutar sentencias SQL para modificar o borrar elementos críticos de la base de datos. Así lo ha confirmado Progress Software, que ha emitido un aviso en el que afirma que "se ha encontrado una vulnerabilidad de inyección SQL en la aplicación web MOVEit Transfer que podría permitir a un atacante no autenticado obtener acceso no autorizado a la base de datos de MOVEit Transfer".

Afecta a todas las versiones de MOVEit Transfer, pero, MOVEit Automation, MOVEit Client, MOVEit Add-in para Microsoft Outlook, MOVEit Mobile, WS_FTP Client, WS_FTP Server, MOVEit EZ, MOVEit Gateway, MOVEit Analytics, y MOVEit Freely no están afectados.

Los investigadores de Rapid7 señalaron la presencia de una webshell llamada "human2.aspx" en la carpeta wwwroot de los sistemas comprometidos, lo que sugiere una explotación automatizada. Este webshell, diseñado para pasar desapercibido entre los archivos legítimos utilizados por la interfaz web de MOVEit Transfer, está protegido por contraseña. Los intentos no autorizados de acceder al webshell dan como resultado un error 404 Not Found, lo que indica un posible intento de ocultar la actividad maliciosa.

Según Rapid7, hay más de 2.500 instancias de MOVEit Transfer accesibles públicamente en Internet a 31 de mayo, con una concentración significativa en Estados Unidos. Mientras tanto, Progress Software ha proporcionado a los clientes Indicadores de Compromiso (IoC) asociados con el ataque e insta a ponerse en contacto de inmediato con sus equipos de seguridad y TI al detectar cualquier actividad sospechosa.

Las fuentes de este artículo incluyen un artículo en SecurityAffairs.

Resumen
MOVEit Transfer atacado por un exploit de día cero
Nombre del artículo
MOVEit Transfer atacado por un exploit de día cero
Descripción
Los investigadores de Rapid7 han descubierto nuevas amenazas que aprovechan una vulnerabilidad de día cero en el producto MOVEit Transfer de Progress Software.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

¡Ayúdenos a comprender
el panorama de Linux!

Complete nuestra encuesta sobre el estado del código abierto y podrá ganar uno de varios premios, ¡el máximo valorado en 500 dólares!

Su experiencia es necesaria para dar forma al futuro de Enterprise Linux.