La Comisión de Bolsa y Valores de Estados Unidos (SEC) no presentará cargos contra Progress Software por el ataque a la cadena de suministro del software MOVEit que expuso los datos de millones de personas desde 2023. En un Formulario 8-K del 6 de agosto, un documento que las empresas públicas estadounidenses deben presentar ante la SEC para anunciar eventos importantes que los accionistas deben conocer, Progress Software dijo que la Comisión ha concluido su investigación sobre su manejo de la explotación de una vulnerabilidad de día cero de MOVEit Transfer en 2023. «Como se reveló anteriormente, Progress recibió una citación de la SEC el 2 de octubre de 2023, como parte de una investigación de investigación de hechos que buscaba varios documentos e información relacionados con la vulnerabilidad de MOVEit», decía la presentación de la SEC. Sin embargo, después de meses de investigación, la División de Cumplimiento de la SEC decidió no recomendar ninguna acción de cumplimiento con respecto al incidente de seguridad. Ataque a la cadena de suministro del software MOVEit La vulnerabilidad de día cero, descubierta originalmente por Progress en junio de 2023, fue una debilidad de inyección SQL encontrada en el producto de transferencia administrada de archivos (MFT). Esta falla (CVE-2023-34362) podría otorgar privilegios elevados y acceso no autorizado. La banda de ransomware Clop aprovechó rápidamente el día cero para lanzar una campaña de robo de datos a gran escala contra empresas de todo el mundo. El proveedor de ciberseguridad Emsisoft estima que el incidente ha afectado a 2773 organizaciones y más de 95 millones de personas en el momento de redactar este artículo. En junio de 2024, Progress Software reveló dos nuevas vulnerabilidades en sus productos de transferencia de archivos MOVEit.