26 de junio de 2024Sala de prensaVulnerabilidad/Protección de datos Una falla de seguridad crítica recientemente revelada que afecta a Progress Software MOVEit Transfer ya está experimentando intentos de explotación en la naturaleza poco después de que se divulgaran públicamente los detalles del error. La vulnerabilidad, rastreada como CVE-2024-5806 (puntuación CVSS: 9.1), se refiere a una omisión de autenticación que afecta a las siguientes versiones: desde 2023.0.0 antes de 2023.0.11 desde 2023.1.0 antes de 2023.1.6, y desde 2024.0.0 antes 2024.0.2 «Una vulnerabilidad de autenticación incorrecta en Progress MOVEit Transfer (módulo SFTP) puede provocar una omisión de autenticación», dijo la compañía en un aviso publicado el martes. Progress también ha abordado otra vulnerabilidad crítica de omisión de autenticación asociada a SFTP (CVE-2024-5805, puntuación CVSS: 9.1) que afecta a MOVEit Gateway versión 2024.0.0. La explotación exitosa de las fallas podría permitir a los atacantes eludir la autenticación SFTP y obtener acceso a los sistemas MOVEit Transfer y Gateway. Desde entonces, watchTowr Labs ha publicado detalles técnicos adicionales sobre CVE-2024-5806, y los investigadores de seguridad Aliz Hammond y Sina Kheirkhah señalaron que podría usarse como arma para hacerse pasar por cualquier usuario en el servidor. La empresa de ciberseguridad describió además que la falla comprende dos vulnerabilidades separadas, una en Progress MOVEit y la otra en la biblioteca IPWorks SSH. «Si bien la vulnerabilidad más devastadora, la capacidad de hacerse pasar por usuarios arbitrarios, es exclusiva de MOVEit, la vulnerabilidad de autenticación forzada menos impactante (pero aún muy real) probablemente afecte a todas las aplicaciones que utilizan el servidor SSH IPWorks», dijeron los investigadores. Progress Software dijo que la deficiencia en el componente de terceros «aumenta el riesgo del problema original» si no se parchea, instando a los clientes a seguir los dos pasos siguientes: Bloquear el acceso público entrante RDP a los servidores MOVEit Transfer. Limitar el acceso saliente solo a puntos finales confiables conocidos de los servidores MOVEit Transfer Según Rapid7, existen tres requisitos previos para aprovechar CVE-2024-5806: los atacantes deben tener conocimiento de un nombre de usuario existente, la cuenta objetivo puede autenticarse de forma remota y el servicio SFTP es de acceso público. a través de Internet. Al 25 de junio, los datos recopilados por Censys muestran que hay alrededor de 2700 instancias de MOVEit Transfer en línea, la mayoría de ellas ubicadas en los EE. UU., el Reino Unido, Alemania, los Países Bajos, Canadá, Suiza, Australia, Francia, Irlanda y Dinamarca. Dado que se abusó ampliamente de otro problema crítico en MOVEit Transfer en una serie de ataques de ransomware Cl0p el año pasado (CVE-2023-34362, puntuación CVSS: 9,8), es esencial que los usuarios actúen rápidamente para actualizar a las últimas versiones. El desarrollo se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) reveló que su herramienta de evaluación de seguridad química (CSAT) fue atacada a principios de enero por un actor de amenazas desconocido al aprovechar las fallas de seguridad en el dispositivo Ivanti Connect Secure (ICS) ( CVE-2023-46805, CVE-2024-21887 y CVE-2024-21893). «Esta intrusión puede haber resultado en un posible acceso no autorizado a encuestas de pantalla superior, evaluaciones de vulnerabilidad de seguridad, planes de seguridad del sitio, presentaciones del Programa de Garantía del Personal (PSP) y cuentas de usuarios de CSAT», dijo la agencia, y agregó que no encontró evidencia de datos. exfiltración. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.