Parcheada la vulnerabilidad de MOVEit Transfer que estaba siendo explotada
A la luz de los recientes acontecimientos de ciberseguridad, se ha explotado activamente una vulnerabilidad de transferencia de MOVEit. Según informes recientes de los medios de comunicación, los intentos de explotación empezaron a surgir cuando se revelaron públicamente los detalles del fallo. La vulnerabilidad de transferencia de archivos MOVEit, cuando es explotada por actores de amenazas, puede conducir a la omisión de autenticación.
En este artículo, descubriremos en qué consiste esta vulnerabilidad y las medidas de seguridad que pueden aplicarse para garantizar la protección contra ella.
CVE-2024-5806: Vulnerabilidad en la transferencia de MOVEit
La vulnerabilidad de transferencia de MOVEit, rastreada como CVE-2024-5806, ha recibido una puntuación de gravedad de vulnerabilidad crítica (CVSS) de 9,1. Esta puntuación tan alta se debe a un bypass de autenticación que afecta a varias versiones:
- Desde 2023.0.0 hasta 2023.0.11
- Desde 2023.1.0 hasta 2023.1.6, y
- Desde 2024.0.0 hasta 2024.0.2
En un reciente aviso emitido por la organización, se ha descubierto que la vulnerabilidad se encuentra en su módulo SFTP. Antes de esto, la organización también había abordado otra vulnerabilidad, CVE-2024-5805, puntuación CVSS: 9,1, que también conducía a un bypass de autenticación.
Gravedad del ataque a la vulnerabilidad de transferencia de MOVEit
A la luz de los recientes exploits, watchTowr Labs ha publicado detalles específicos sobre CVE-2024-5806. Los investigadores expertos Aliz Hammond y Sina Kheirkhah han afirmado que esta vulnerabilidad puede explotarse para suplantar la identidad de usuarios en la superficie.
Los detalles compartidos por la organización aclaran aún más que la falla es de hecho a vulnerabilidades separadas. Una de ellas está relacionada con Progress MOVEit y la otra con la biblioteca IPWorks SSH. Además, los investigadores han declarado que:
"Mientras que la vulnerabilidad más devastadora, la capacidad de suplantar usuarios arbitrarios, es exclusiva de MOVEit, la vulnerabilidad de autenticación forzada, menos impactante (pero aún muy real), es probable que afecte a todas las aplicaciones que utilizan el servidor SSH IPWorks"
Para arrojar más luz sobre el incidente, un portavoz de Progress Software ha dicho que:
"Actualmente, no hemos recibido ningún informe de que estas vulnerabilidades hayan sido explotadas y no tenemos conocimiento de ningún impacto operativo directo para los clientes. Para ser claros, estas vulnerabilidades no están relacionadas con la vulnerabilidad de día cero vulnerabilidad MOVEit Transfer de la que informamos en mayo de 2023".
Esfuerzos de mitigación de Progress Software
Progress Software emitió un primer aviso relativo a la vulnerabilidad de transferencia MOVEit. Aparte del aviso, la empresa también ha publicado un parche para la vulnerabilidad y está trabajando con los clientes para resolver cualquier problema que puedan estar experimentando.
También han publicado un aviso actualizado sobre el parche y la vulnerabilidad. Un extracto del aviso actualizado reza : "La vulnerabilidad recientemente identificada en un componente de terceros utilizado en MOVEit Transfer eleva el riesgo del problema original mencionado anteriormente si se deja sin parchear. "
Los medios de comunicación han citado a WatchTower afirmando que se ha llevado a cabo un examen técnico del problema. Según el examen, Progress ha realizado importantes esfuerzos para garantizar que los clientes desplieguen los parches. Además, estos expertos en ciberseguridad no creen que los usuarios sigan siendo vulnerables al ataque.
Conclusión
La vulnerabilidad CVE-2024-5806 de MOVEit Transfer ha sido solucionada con un parche crítico. Las medidas proactivas y el apoyo continuo de Progress Software ponen de relieve la importancia de actuar con rapidez en materia de ciberseguridad, garantizando que los usuarios permanezcan protegidos frente a posibles amenazas. La aplicación de medidas proactivas de ciberseguridad es esencial para protegerse contra este tipo de ataques y para mejorar la postura general de seguridad.
Las fuentes de este artículo son The Hacker News y The Record.