El polvo aún no se ha asentado adecuadamente en torno al fiasco de GoAnywhere MFT, y ya tenemos otra solución empresarial segura de transferencia de archivos violada y abusada por robo de datos.
Esta vez es MOVEit Transfer, una solución de transferencia de archivos administrados (MFT) creada por Ipswitch, una subsidiaria de una empresa llamada Progress.
La compañía ha confirmado el descubrimiento de una vulnerabilidad «crítica» e instó a sus usuarios a aplicar una solución alternativa de inmediato en previsión de un parche oficial.
Escalada de privilegios
«Progress ha descubierto una vulnerabilidad en MOVEit Transfer que podría dar lugar a una escalada de privilegios y un posible acceso no autorizado al entorno», afirma el anuncio de la empresa.
«Si es cliente de MOVEit Transfer, es extremadamente importante que tome medidas inmediatas como se indica a continuación para ayudar a proteger su entorno de MOVEit Transfer, mientras nuestro equipo produce un parche».
La compañía dice que los usuarios deben bloquear el tráfico externo a los puertos 80 y 443, lo que probablemente evitará el acceso externo a la interfaz de usuario web, así como algunas tareas de automatización. Las API dejarán de funcionar, al igual que el complemento de Outlook, pero los clientes aún pueden usar los protocolos SFTP y FTP/s para transferir archivos entre puntos finales.
Además, los usuarios deben inspeccionar la carpeta ‘c:MOVEit Transferwwwroot’ en busca de archivos inesperados, copias de seguridad o descargas de archivos grandes, ya que parece ser el indicador número uno de compromiso, también informó BleepingComputer.
Todavía faltan los detalles sobre la falla y sus abusadores. Sabemos que es un día cero y que se puede usar para extraer archivos confidenciales de los usuarios. Los investigadores de ciberseguridad de Rapid7 creen que se trata de una falla de inyección SQL que permite la ejecución remota de código. Aún no se ha asignado ningún CVE.
Tampoco sabemos el impacto de la falla, pero BleepingComputer ha dicho que sus fuentes le dicen que «numerosas organizaciones» han tenido sus datos robados hasta ahora. Hay al menos 2500 servidores de transferencia expuestos, la mayoría ubicados en los Estados Unidos.
Es seguro asumir que los atacantes intentarán extorsionar a las víctimas a cambio de mantener la privacidad de los datos.
Vía: BleepingComputer