imágenes falsas
Organizaciones grandes y pequeñas están siendo víctimas de la explotación masiva de una vulnerabilidad crítica en un programa de transferencia de archivos ampliamente utilizado. La explotación comenzó durante el feriado del Día de los Caídos, mientras que la vulnerabilidad crítica aún era un día cero, y continúa ahora, unos nueve días después.
A partir del lunes por la noche, se sabía que el servicio de nómina Zellis, la provincia canadiense de Nueva Escocia, British Airways, la BBC y el minorista británico Boots habían sufrido el robo de datos a través de los ataques, que son alimentados por una vulnerabilidad parcheada recientemente en MOVEit, un proveedor de transferencia de archivos que ofrece servicios locales y en la nube. Tanto Nova Scotia como Zellis sufrieron brechas en sus propias instancias o servicios en la nube. British Airways, la BBC y Boots eran clientes de Zellis. Toda la actividad de piratería se ha atribuido al sindicato del crimen Clop de habla rusa.
Extendido y bastante sustancial
A pesar de la cantidad relativamente pequeña de infracciones confirmadas, los investigadores que monitorean los ataques en curso describen la explotación como generalizada. Comparan los hacks con robos de romper y agarrar, en los que se rompe una ventana y los ladrones agarran lo que pueden, y advierten que los robos rápidos están afectando a bancos, agencias gubernamentales y otros objetivos en números alarmantemente altos.
“Tenemos un puñado de clientes que ejecutaban MOVEit Transfer abierto a Internet, y todos estaban comprometidos”, escribió Steven Adair, presidente de la firma de seguridad Volexity, en un correo electrónico. “Otras personas con las que hemos hablado han visto algo similar”.
Adair continuó:
No quiero categorizar a nuestros clientes en este punto, ya que no sé qué hay en términos de quién está ejecutando el software y regalarlos. Dicho esto, sin embargo, son tanto las organizaciones grandes como las pequeñas las que se han visto afectadas. Todos los casos que hemos investigado han implicado algún nivel de exfiltración de datos. Los atacantes generalmente tomaron archivos de los servidores MOVEit menos de dos horas después de la explotación y el acceso de shell. Creemos que esto probablemente fue generalizado y que una cantidad considerable de servidores de MOVEit Transfer que ejecutaban servicios web orientados a Internet se vieron comprometidos.
Caitlin Condon, gerente senior de investigación de seguridad que dirige el brazo de investigación de la firma de seguridad Rapid7, dijo que normalmente su equipo reserva el término «amenaza generalizada» para eventos que involucran «muchos atacantes, muchos objetivos». Los ataques en curso no tienen ninguno. Hasta el momento, solo hay un atacante conocido: Clop, un grupo de habla rusa que se encuentra entre los actores de ransomware más prolíficos y activos. Y con el motor de búsqueda de Shodan indexando solo 2510 instancias de MOVEit orientadas a Internet cuando comenzaron los ataques, es justo decir que no hay «muchos objetivos», en términos relativos.
En este caso, sin embargo, Rapid7 está haciendo una excepción.
“No estamos viendo actores de amenazas de productos básicos o atacantes poco calificados lanzando exploits aquí, pero la explotación de objetivos de alto valor disponibles a nivel mundial en una amplia gama de tamaños de organizaciones, verticales y ubicaciones geográficas nos inclina la balanza al clasificar esto. como una amenaza generalizada”, explicó en un mensaje de texto.
Señaló que el lunes fue solo el tercer día hábil desde que el incidente se hizo ampliamente conocido, y es posible que muchas víctimas recién ahora se estén enterando de que estaban comprometidas. “Esperamos ver una lista más larga de víctimas a medida que pasa el tiempo, particularmente a medida que entran en juego los requisitos reglamentarios para informar”, escribió.
Mientras tanto, el investigador independiente Kevin Beaumont, dicho en las redes sociales el domingo por la noche: «He estado rastreando esto: hay un número de dos dígitos de organizaciones a las que les robaron datos, que incluye varias organizaciones gubernamentales y bancarias de EE. UU.».
La vulnerabilidad de MOVEit proviene de una falla de seguridad que permite la inyección de SQL, una de las clases de explotación más antiguas y comunes. A menudo abreviadas como SQLi, estas vulnerabilidades generalmente se derivan de una falla de una aplicación web para eliminar adecuadamente las consultas de búsqueda y otras entradas de caracteres del usuario que una aplicación podría considerar un comando. Al ingresar cadenas especialmente diseñadas en campos de sitios web vulnerables, los atacantes pueden engañar a una aplicación web para que devuelva datos confidenciales, otorgue privilegios administrativos al sistema o altere la forma en que funciona la aplicación.