Desde el jueves pasado, los investigadores de seguridad han hecho sonar la alarma sobre una falla recientemente descubierta en la solución MOVEit Transfer que ofrece Progress Software. A esta falla se le ha dado el identificador CVE-2023-34362. Al usar cargas basadas en SFTP, SCP y HTTP, MOVEit Transfer es una solución de transferencia de archivos administrada (MFT) que permite a la corporación transmitir datos de manera segura entre socios comerciales y clientes.
El mismo día, un investigador de Huntress, una plataforma de seguridad cibernética administrada, validó la vulnerabilidad en MOVEit con la inyección SQL que permite que un adversario cargue o extraiga datos.
Más tarde el domingo, Microsoft estableció la conexión entre la banda de ransomware Clop y los ataques anteriores que robaron datos de las empresas mediante el uso de una vulnerabilidad de día cero en la plataforma MOVEit Transfer. Hoy, los investigadores que trabajan en el proyecto Huntress sacaron a la luz su investigación y explotación hasta la fecha, agregando la capacidad de ejecución remota de código, así como ransomware.
El investigador también distribuyó un video de prueba de concepto (POC) para el ataque, que demuestra cómo se puede usar la vulnerabilidad para obtener acceso de shell usando Meterpreter, elevar los privilegios a NT AUTHORITYSYSTEM y desencadenar una carga útil de ransomware cl0p. Huntress proporcionó una descripción de la vulnerabilidad y dijo que cualquier adversario que no estuviera autorizado podría desencadenar el ataque, que luego instalaría inmediatamente ransomware o realizaría cualquier otro tipo de actividad maliciosa. El código que puede considerarse malicioso se ejecutaría bajo el usuario de la cuenta de servicio de MOVEit moveitsvc, que es miembro del grupo de administradores locales. El adversario podría eludir las protecciones antivirus o realizar cualquier otro tipo de ejecución de código.
Además de eso, dijeron “No es necesario que los atacantes se comporten de la manera que notó la industria, es decir, insertando un webshell human2.aspx, para comprometer el software MOVEit Transfer. Es “una opción” que esta amenaza en particular elige implementar para la persistencia, sin embargo, el vector de ataque tiene la capacidad de liberar ransomware de inmediato. Algunos ya han revelado abiertamente a los atacantes que han cambiado su enfoque a otros nombres de archivos.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.