MOVEit Transfer atacado por un exploit de día cero
Los investigadores de seguridad de Rapid7 han descubierto que los actores de la amenaza están explotando una vulnerabilidad de día cero en el producto MOVEit Transfer de Progress Software, ampliamente utilizado por las empresas para la transferencia segura de archivos. Los ciberdelincuentes aprovechan una vulnerabilidad de inyección SQL (CVE-2023-34362) para obtener acceso no autorizado a la base de datos del producto.
La vulnerabilidad permite a atacantes no autentificados infiltrarse en la base de datos de MOVEit Transfer, pudiendo ejecutar sentencias SQL para modificar o borrar elementos críticos de la base de datos. Así lo ha confirmado Progress Software, que ha emitido un aviso en el que afirma que "se ha encontrado una vulnerabilidad de inyección SQL en la aplicación web MOVEit Transfer que podría permitir a un atacante no autenticado obtener acceso no autorizado a la base de datos de MOVEit Transfer".
Afecta a todas las versiones de MOVEit Transfer, pero, MOVEit Automation, MOVEit Client, MOVEit Add-in para Microsoft Outlook, MOVEit Mobile, WS_FTP Client, WS_FTP Server, MOVEit EZ, MOVEit Gateway, MOVEit Analytics, y MOVEit Freely no están afectados.
Los investigadores de Rapid7 señalaron la presencia de una webshell llamada "human2.aspx" en la carpeta wwwroot de los sistemas comprometidos, lo que sugiere una explotación automatizada. Este webshell, diseñado para pasar desapercibido entre los archivos legítimos utilizados por la interfaz web de MOVEit Transfer, está protegido por contraseña. Los intentos no autorizados de acceder al webshell dan como resultado un error 404 Not Found, lo que indica un posible intento de ocultar la actividad maliciosa.
Según Rapid7, hay más de 2.500 instancias de MOVEit Transfer accesibles públicamente en Internet a 31 de mayo, con una concentración significativa en Estados Unidos. Mientras tanto, Progress Software ha proporcionado a los clientes Indicadores de Compromiso (IoC) asociados con el ataque e insta a ponerse en contacto de inmediato con sus equipos de seguridad y TI al detectar cualquier actividad sospechosa.
Las fuentes de este artículo incluyen un artículo en SecurityAffairs.