Gestión de riesgos de terceros, gobernanza y gestión de riesgos, software de progreso de gestión de parches: ‘Una vulnerabilidad de terceros recientemente revelada introduce un nuevo riesgo’ Akshaya Asokan (asokan_akshaya), David Perera (@daveperera) • 26 de junio de 2024 Es hora de que los clientes de MOVEit Transfer Una vez más, esté en alerta máxima ante los piratas informáticos. (Imagen: Shutterstock) Los piratas informáticos descubrieron una nueva falla en la aplicación de transferencia de archivos administrada MOVEit de Progress Software apenas unas horas después de que el fabricante Progress Software revelara públicamente la falla crítica, que permite a los atacantes eludir la autenticación. Ver también: Ciberseguridad en el sector público: 5 conocimientos que necesita saber La compañía también reveló una falla similar en su servicio proxy Gateway destinado a restringir el acceso público a Internet a la aplicación de transferencia. Los clientes de la compañía de Massachusetts no son ajenos a los parches de emergencia después de su experiencia en mayo de 2023 de un ataque masivo al software de transferencia liderado por el grupo de ransomware de habla rusa Clop, que aprovechó un día cero durante el fin de semana del Memorial Day (ver: Ataque conocido de MOVEit El recuento de víctimas llega a 2.618 organizaciones). Progress Software dijo el martes que distribuyó el 11 de junio un parche para una vulnerabilidad de omisión de aplicaciones en la aplicación de transferencia de archivos rastreada como CVE-2024-5806. Pero una «vulnerabilidad de terceros recientemente revelada introduce un nuevo riesgo», dijo. La compañía instó a los clientes a bloquear el acceso entrante del protocolo de escritorio remoto a los servidores MOVEit y limitar la conexión saliente a puntos finales conocidos y confiables. La empresa de ciberseguridad watchTowr dijo en una publicación de blog que la falla de terceros reside en IPWorks SSH, que Progress Software utiliza para la autenticación del par de claves, complementado con una funcionalidad adicional creada por la empresa. El fabricante de IPWorks SSH de Carolina del Norte, una empresa llamada /n software, dijo que ya lanzó un parche. «El alcance de la vulnerabilidad depende de cómo los desarrolladores usan el componente, y esperamos que sea limitado», dijo el CEO de n/ software, Gent Hito, en un correo electrónico. «Vale la pena señalar que los investigadores de seguridad nos avisaron sólo 24 horas antes del lanzamiento el lunes, mientras que ellos lo sabían y trabajaban en esto durante semanas, lo cual es lamentable». Los investigadores de watchTowr dijeron que el escenario del ataque requiere que un hacker engañe al sistema de registro MOVEit Transfer para que almacene la mitad de un par de claves de autenticación, lo que automáticamente haría al registrar una clave pública como un supuesto nombre de usuario utilizado en un intento fallido de inicio de sesión. Con la clave pública almacenada dentro del sistema MOVEit, un atacante podría usar un nombre de usuario válido y la clave privada controlada por el atacante combinada con la clave pública para obtener acceso. “Este es un ataque devastador: permite que cualquiera que pueda colocar una clave pública en el servidor asuma la identidad de cualquier usuario SFTP. Desde aquí, este usuario puede realizar todas las operaciones habituales: leer, escribir o eliminar archivos, o causar caos”, dijeron los investigadores, refiriéndose al módulo FTP seguro dentro del sistema de transferencia de archivos MOVEit. Un consuelo es que cualquier ataque que siga el escenario de watchTowr «es necesariamente bastante ruidoso en términos de entradas de registro», dijo la compañía. Los administradores del sistema MOVEit que implementaron la lista blanca de IP para los inicios de sesión tendrán otra capa de seguridad, agregó. La firma de seguridad Censys dijo el martes que al menos 2.700 instancias de MOVEit Transfer están en línea, principalmente en Estados Unidos. La Fundación Shadowserver encontró alrededor de 1.770 instancias de MOVEit Transfer expuestas a Internet. Dijo que los piratas informáticos comenzaron a explotar la falla «muy poco» después de que la vulnerabilidad se hiciera pública. La Oficina Federal Alemana para la Seguridad de la Información instó a los usuarios de MOVEit a parchear inmediatamente. El otro defecto de omisión de autenticación de Progress Software, el de su producto Gateway, ha atraído menos atención. Seguimiento como CVE-2024-5805 Progress Software dice que también es crítico, pero solo afecta a la versión 2024.0.0. MOVEit Gateway es un servicio de proxy complementario opcional que los administradores del sistema pueden implementar en la zona desmilitarizada de la red de una empresa para garantizar que Transfer no esté expuesto a la Internet pública. URL de la publicación original: https://www.databreachtoday.com/hackers-quick-to-exploit-moveit-authentication-flaw-a-25630