Los piratas informáticos atacan el nuevo error de omisión de autenticación crítica de MOVEit Transfer
Los actores de amenazas ya están intentando explotar una falla crítica de omisión de autenticación en Progress MOVEit Transfer, menos de un día después de que el proveedor la revelara.
MOVEit Transfer es una solución de transferencia administrada de archivos (MFT) que se utiliza en entornos empresariales para transferir archivos de forma segura entre socios comerciales y clientes mediante los protocolos SFTP, SCP y HTTP.
El nuevo problema de seguridad recibió el identificador CVE-2024-5806 y permite a los atacantes eludir el proceso de autenticación en el módulo del Protocolo de transferencia segura de archivos (SFTP), que es responsable de las operaciones de transferencia de archivos a través de SSH.
Un atacante que aproveche esta falla podría acceder a datos confidenciales almacenados en el servidor MOVEit Transfer, cargar, descargar, eliminar o modificar archivos e interceptar o alterar transferencias de archivos.
Código de explotación disponible
La plataforma de monitoreo de amenazas Shadowserver Foundation informó haber visto intentos de explotación poco después de que Progress publicara el boletín sobre CVE-2024-5806, por lo que los piratas informáticos ya están atacando puntos finales vulnerables.
Los análisis de red realizados por Censys indican que actualmente hay alrededor 2700 instancias de transferencia MOVEit expuestas a Internetla mayoría ubicadas en EE. UU., Reino Unido, Alemania, Canadá y Países Bajos.
Sin embargo, se desconoce el porcentaje de quienes no han aplicado las actualizaciones de seguridad y/o las mitigaciones propuestas para la falla de terceros.
El informe de ShadowServer sobre intentos de explotación llega después de que la empresa de seguridad ofensiva watchTowr publicara detalles técnicos sobre la vulnerabilidad, cómo se puede explotar y qué deben buscar los defensores en los registros para detectar señales de explotación.
watchTowr también proporciona un análisis técnico de cómo los atacantes pueden manipular las rutas de clave pública SSH para obligar al servidor a autenticarse utilizando rutas controladas por el atacante, exponiendo potencialmente los hashes Net-NTLMv2.
Además, el código de explotación de prueba de concepto para CVE-2024-5806 ya está disponible públicamente en watchTowr y los investigadores de vulnerabilidades. Sina Kheirkhah y Aliz Hammond.
Con esta información disponible, los ataques seguramente aumentarán en los próximos días, por lo que es crucial que las organizaciones apliquen las actualizaciones y mitigaciones de seguridad relacionadas lo antes posible.
Parches publicados para CVE-2024-5806
Como explicó Progreso en el boletín de seguridadCVE-2024-5806 afecta a las siguientes versiones del producto:
- 2023.0.0 antes de 2023.0.11
- 2023.1.0 antes de 2023.1.6
- 2024.0.0 antes de 2024.0.2
Se pusieron a disposición correcciones en MOVEit Transfer 2023.0.11, 2023.1.6y 2024.0.2disponible en el portal de la Comunidad Progress.
Los clientes sin un acuerdo de mantenimiento vigente deben comunicarse de inmediato con el equipo de Renovaciones o con el representante del socio de Progress para resolver el problema.
Los clientes de MOVEit Cloud no necesitan realizar ninguna acción para mitigar la falla crítica, ya que los parches ya se han implementado automáticamente.
Además de la falla en sí, Progress señala que descubrió una vulnerabilidad separada en un componente de terceros utilizado en MOVEit Transfer, lo que eleva los riesgos asociados con CVE-2024-5806.
Para mitigar esta falla hasta que esté disponible una solución del proveedor externo, se recomienda a los administradores del sistema bloquear el acceso del Protocolo de escritorio remoto (RDP) a los servidores de MOVEit Transfer y restringir las conexiones salientes a puntos finales conocidos/confiables.
Progress también publicó un boletín de seguridad sobre un problema similar de omisión de autenticación. CVE-2024-5805lo que afecta a MOVEit Gateway 2024.0.0.
MOVEit se utiliza ampliamente en el entorno empresarial y los piratas informáticos están atentos a las vulnerabilidades y exploits disponibles en el producto, especialmente desde entonces. Clop ransomware aprovechó un día cero el año pasado a violar y posteriormente extorsionar a miles de organizaciones.