Progress Software, el operador del producto de transferencia de archivos administrado MOVEit Transfer, ha lanzado un segundo parche para una vulnerabilidad recientemente descubierta distinta de CVE-2023-34362, el error de inyección SQL actualmente bajo explotación generalizada por parte de la banda de extorsión cibernética Clop de habla rusa.
Esta vulnerabilidad, a la que en el momento de escribir este artículo no se le ha asignado un número CVE, fue descubierta por analistas externos que trabajaron junto con Progress para investigar MOVEit Transfer en busca de más problemas.
“Nos hemos asociado con expertos en seguridad cibernética de terceros para realizar revisiones de código más detalladas como una capa adicional de protección para nuestros clientes”, dijo Progress en un comunicado.
“Como parte de estas revisiones de código, la firma de seguridad cibernética Huntress nos ha ayudado a descubrir vulnerabilidades adicionales que podrían ser utilizadas por un mal actor para realizar un exploit. Estas vulnerabilidades recientemente descubiertas son distintas de la vulnerabilidad previamente informada compartida el 31 de mayo de 2023. Todos los clientes de MOVEit Transfer deben aplicar el nuevo parche, lanzado el 9 de junio de 2023”.
La vulnerabilidad en cuestión también es una falla de inyección SQL y afecta a todas las versiones de MOVEit Transfer. Progress dijo que, si no se parchea, un atacante no autenticado podría obtener acceso no autorizado a la base de datos de MOVEit Transfer y enviarle una carga útil que le daría la capacidad de modificar y divulgar, es decir, robar, su contenido. Esto tendría un impacto similar a CVE-2023-34362.
Progress dijo que los usuarios que aún no han aplicado el parche CVE-2023-34362 deben consultar su guía inicial del 31 de mayo, que ahora también los protegerá de la nueva vulnerabilidad. Aquellos que aplicaron el primer parche y siguieron los pasos de remediación recomendados ahora deben proceder a aplicar el segundo parche como se describe aquí, utilizando solo los enlaces de parche incluidos en su documentación oficial. Agregó que MOVEit Cloud también se ha parcheado con el parche del 9 de junio.
En aras de la flexibilidad, Progress proporciona una versión de instalación completa del parche y una versión de biblioteca de vínculos dinámicos (DLL) que los usuarios pueden colocar en una instalación existente.
Además, se recomienda a los usuarios de MOVEit que revisen sus registros de auditoría en busca de cualquier actividad inusual o sospechosa, como descargas de archivos inesperadas, y que revisen los registros de acceso y el registro de sistemas.
Computer Weekly contactó a Huntress Security, pero no había recibido una respuesta al momento de la publicación.
reloj corriendo
Ahora que quedan menos de 72 horas para que Clop comience a filtrar los datos que ha robado, en los últimos días se han presentado más víctimas en todo el mundo. Entre los que han levantado la mano, según informa Semana de la Seguridadson dos organismos estatales de EE. UU. en Illinois y Minnesota.
El Departamento de Innovación y Tecnología de Illinois dijo que estaba investigando el impacto del ataque, pero aún no ha identificado qué datos se perdieron, aunque dijo que sospechaba que “una gran cantidad de personas” se vieron afectadas. El Departamento de Educación de Minnesota (MDE) dijo que un total de 24 archivos que contienen los nombres de 95,000 niños colocados en hogares de crianza, así como datos sobre estudiantes que califican para los beneficios de Covid-19, estudiantes que toman cursos para obtener créditos universitarios y estudiantes que usaron un particular ruta de autobús escolar en la ciudad de Minneapolis.
Clop ha afirmado que ha borrado datos tomados de organismos públicos. Si este es el caso o no, no se puede determinar con ningún grado de precisión.
Antes del fin de semana, también se supo que Extreme Networks se vio afectada por el incidente. Se cree que el proveedor de hardware y software de red todavía está evaluando si se han tomado o no los datos del cliente.