Progress Software, la compañía detrás del software de transferencia de archivos MOVEit recientemente pirateado, ha publicado correcciones para dos vulnerabilidades más críticas que están siendo explotadas por los atacantes.
En un aviso publicado la semana pasada, Progress advirtió sobre múltiples vulnerabilidades que afectan su software de transferencia de archivos WS_FTP empresarial, que según la compañía es utilizado por miles de equipos de TI en todo el mundo para la «transferencia confiable y segura de datos críticos».
Dos de las vulnerabilidades de WS_FTP fueron consideradas críticas. El primero, CVE-2023-40044, al que se le otorgó una calificación máxima de gravedad de vulnerabilidad de 10.0, describe una falla de deserialización de .NET que podría permitir a un atacante ejecutar comandos remotos en el sistema operativo subyacente. La segunda, identificada como CVE-2023-42657, es una vulnerabilidad de cruce de directorio que podría permitir a un atacante realizar operaciones con archivos fuera de la ruta autorizada de la carpeta WS_FTP.
Ambas vulnerabilidades ya están siendo explotadas por piratas informáticos, según la empresa de ciberseguridad Rapid7. Caitlin Condon, jefa de investigación de vulnerabilidades de Rapid7, dijo a TechCrunch que la compañía observó «una pequeña cantidad de incidentes» derivados de la explotación del servidor WS_FTP el 30 de septiembre, lo que afectó a varias industrias, incluidas la tecnología y la atención médica. Condon dijo que la cadena de ejecución parece la misma en todas las instancias observadas, lo que indica «una posible explotación masiva de servidores WS_FTP vulnerables».
«Vimos un comportamiento de atacante similar en todos los incidentes, lo que puede indicar que un único adversario estaba detrás de la actividad», dijo Condon a TechCrunch. «Sin embargo, advertimos a las organizaciones que no bajen la guardia, ya que hemos visto actores de amenazas individuales causar daños enormes al atacar soluciones de transferencia de archivos este año».
Aún no se sabe quién está detrás de estos ataques ni cuántos clientes de WS_FTP se han visto afectados por esta explotación. Progress Software no respondió a las preguntas de TechCrunch.
La empresa de seguridad Assetnote, que descubrió por primera vez las vulnerabilidades de WS_FTP, dijo que hay 2.900 hosts en Internet que ejecutan WS_FTP y tienen su servidor web expuesto. «La mayoría de estos activos en línea pertenecen a grandes empresas, gobiernos e instituciones educativas», dijo la compañía.
Progress Software ha lanzado un parche para las vulnerabilidades e insta a los clientes a aplicar las correcciones con urgencia. Rapid7 ha compartido indicadores de compromiso que los defensores empresariales pueden buscar para establecer si su organización se ha visto afectada.
Las noticias sobre atacantes que explotan vulnerabilidades en el software WS_FTP de Progress Software llegan mientras la compañía continúa lidiando con las consecuencias de los ataques masivos que explotan una falla de día cero en su plataforma MOVEit Transfer. Estos ataques, que comenzaron el 27 de mayo, han sido reivindicados por el grupo de ransomware Clop, y el número de organizaciones afectadas ha superado la marca de 2100, aunque el número real de afectados probablemente sea significativamente mayor.