Incluso si no es cliente de MOVEit, e incluso si nunca había oído hablar del software para compartir archivos MOVEit antes de finales del mes pasado...
... sospechamos que ya has oído hablar de él.
Eso se debe a que la marca MOVEit ha estado en todos los medios de TI y principales durante la última semana más o menos, debido a un desafortunado agujero de seguridad doblado CVE-2023-34362, que resultó ser lo que en la jerga se conoce como día cero insecto.
Un agujero de día cero es aquel que los ciberdelincuentes encontraron y descifraron antes de que hubiera actualizaciones de seguridad disponibles, con el resultado de que incluso los administradores de sistemas más ávidos y rápidos del mundo no tuvieron días durante los cuales podrían haber parcheado antes que los chicos malos. .
Lamentablemente, en el caso de CVE-2023-34362, los ladrones que llegaron allí primero aparentemente eran miembros del infame equipo de ransomware Clop, una pandilla de ciberextorsionadores que roban datos de las víctimas o codifican sus archivos, y luego amenazan a esas víctimas exigiendo dinero de protección a cambio de suprimir los datos robados, descifrar los archivos arruinados, o ambos.
Datos de trofeos saqueados
Como puede imaginar, debido a que este agujero de seguridad existía en la interfaz web del software MOVEit, y debido a que MOVEit se trata de cargar, compartir y descargar archivos corporativos con facilidad, estos delincuentes abusaron del error para apoderarse de datos de trofeos para dar ellos mismos chantajean a sus víctimas.
Incluso las empresas que no son usuarios de MOVEit aparentemente terminaron con datos privados de empleados expuestos por este error, gracias a proveedores de nómina subcontratados que eran clientes de MOVEit, y cuyas bases de datos de personal de clientes parecen haber sido saqueadas por los atacantes.
(Hemos visto informes de infracciones que afectan a decenas o cientos de miles de empleados en una variedad de operaciones en Europa y América del Norte, incluidas organizaciones en los sectores de atención médica, noticias y viajes).
EXPLICACIÓN DE INYECCIÓN DE SQL Y WEBSHELLS
Parches publicados rápidamente
Los creadores del software MOVEit, Progress Software Corporation, se apresuraron a publicar parches una vez que supieron de la existencia de la vulnerabilidad.
La compañía también compartió amablemente una extensa lista de los llamados IoC (indicadores de compromiso), para ayudar a los clientes a buscar signos conocidos de ataque incluso después de haber aplicado el parche.
Después de todo, cada vez que surge un error que un notorio grupo de ciberdelincuentes ya ha estado explotando con fines malignos, parchear por sí solo nunca es suficiente.
¿Qué pasaría si usted fuera uno de los desafortunados usuarios que ya habían sido violados antes de aplicar la actualización?
Parches proactivos también
Bueno, aquí hay una noticia buena pero urgente de los desarrolladores sin duda asediados de Progress Software: acaban de publicar aún más parches para el producto MOVEit Transfer.
Hasta donde sabemos, las vulnerabilidades corregidas esta vez no son de día cero.
De hecho, estos errores son tan nuevos que al momento de escribir [2023-06-09T21:30:00Z] todavía no habían recibido un número CVE.
Aparentemente, son errores similares a CVE-2023-34362, pero esta vez se encontraron de manera proactiva:
[Progress] se asoció con expertos en seguridad cibernética de terceros para realizar revisiones de código más detalladas como una capa adicional de protección para nuestros clientes. [… Hemos encontrado] vulnerabilidades adicionales que potencialmente podrían ser utilizadas por un mal actor para realizar un exploit. Estas vulnerabilidades recientemente descubiertas son distintas de la vulnerabilidad previamente informada compartida el 31 de mayo de 2023.
Como señala Progreso:
Todos los clientes de MOVEit Transfer deben aplicar el nuevo parche, lanzado el 9 de junio de 2023.
Para obtener información oficial sobre estas correcciones adicionales, le recomendamos que visite el Resumen de progreso documento, así como el de la empresa consejos específicos sobre el nuevo parche.
Cuando las buenas noticias siguen a las malas
Por cierto, encontrar un error en su código y luego encontrar muy rápidamente un montón de errores relacionados no es inusual, porque los defectos son más fáciles de encontrar (y está más inclinado a querer cazarlos) una vez que sabe qué hacer. buscar.
Entonces, a pesar de que esto significa más trabajo para los clientes de MOVEit (quienes pueden sentir que ya tienen suficiente en su plato), diremos nuevamente que consideramos esta buena noticia, porque los errores latentes que de otro modo podrían haberse convertido en aún más cero- Los agujeros de día ahora se han cerrado de manera proactiva.
Por cierto, si eres programador y alguna vez te encuentras persiguiendo un error peligroso como CVE-2023-34362...
…tome una hoja del libro de Progress Software y busque vigorosamente otros errores potencialmente relacionados al mismo tiempo.
BÚSQUEDA DE AMENAZA PARA CLIENTES DE SOPHOS
MÁS SOBRE LA SAGA MOVEIT
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- EVM Finanzas. Interfaz unificada para finanzas descentralizadas. Accede Aquí.
- Grupo de medios cuánticos. IR/PR amplificado. Accede Aquí.
- PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://nakedsecurity.sophos.com/2023/06/09/more-moveit-mitigations-new-patches-published-for-further-protection/
