Descifrando la vulnerabilidad en MOVEit Transfer

La vulnerabilidad de MOVEit Transfer (CVE-2023-34362) fue una inyección SQL que permitió a los atacantes escalar privilegios y acceder a la base de datos de la aplicación web de MOVEit Transfer.

La vulnerabilidad fue descubierta y parcheada por Progress Software el 31 de mayo de 2023, pero se cree que fue explotada en el mundo real desde el 27 de mayo de 2023 por el grupo de ransomware Lace Tempest, también conocido como FIN11, DEV-0950 o TA505.

MOVEit Transfer es una solución de transferencia de archivos gestionada (MFT) desarrollada por Ipswitch, una subsidiaria de la corporación estadounidense Progress Software, que permite a las empresas transferir archivos de forma segura entre socios y clientes utilizando SFTP, SCP y cargas basadas en HTTP.

Progress MOVEit Transfer se ofrece como una solución local gestionada por el cliente y una plataforma SaaS en la nube gestionada por el desarrollador.

Impacto de la vulnerabilidad de MOVEit Transfer

Los atacantes utilizaron esta vulnerabilidad para instalar un web shell llamado LemurLoot en los sistemas comprometidos y robar datos sensibles de las víctimas. Algunos de los indicadores de compromiso son la presencia del archivo human2.aspx en el directorio wwwroot de MOVEit Transfer y la ejecución de consultas SQL maliciosas en los logs de IIS.

Las consecuencias de esta vulnerabilidad fueron graves, ya que afectó a clientes de diversos sectores y geografías, y puso en riesgo la confidencialidad, integridad y disponibilidad de los datos transferidos por MOVEit Transfer.

Se recomendó a los usuarios de MOVEit Transfer que apliquen los parches correspondientes lo antes posible y que revisen sus sistemas en busca de signos de intrusión.

Lecciones aprendidas y recomendaciones para una seguridad cibernética reforzada

Esta vulnerabilidad permitía a un atacante ejecutar código arbitrario en el servidor y comprometer la confidencialidad, integridad y disponibilidad de los datos.

La vulnerabilidad MOVEit Transfer se identificó como CVE-2021-25275 y se clasificó con un nivel de gravedad de 9.8 sobre 10 en la escala CVSS. Se trata de una vulnerabilidad de inyección de comandos OS que afecta a la versión 11.2.0 y anteriores de MOVEit Transfer.

La explotación de esta vulnerabilidad requirió que el atacante enviara una petición HTTP especialmente manipulada al servidor MOVEit Transfer, lo que le permitió ejecutar comandos arbitrarios en el sistema operativo del servidor con los privilegios del servicio web.

Este mismo sistema puede conducir a la toma de control total del servidor, la exfiltración o modificación de datos sensibles, la instalación de malware o ransomware, o la propagación lateral a otros sistemas de la red.

Las lecciones aprendidas con este incidente son las siguientes:

La importancia de mantener actualizado el software y aplicar los parches de seguridad lo antes posible. El proveedor del software, Progress Software, publicó un parche para corregir la vulnerabilidad el 6 de abril, pero muchas organizaciones no lo aplicaron a tiempo y quedaron expuestas a posibles ataques.
La necesidad de monitorizar y auditar los sistemas críticos para detectar posibles anomalías o actividades sospechosas. Algunos indicadores de compromiso (IoC) asociados a esta vulnerabilidad son: peticiones HTTP con el parámetro “id” con valores anómalos, archivos ejecutables o scripts creados o modificados en el directorio del servicio web, o conexiones salientes desde el servidor a direcciones IP desconocidas.
La conveniencia de aplicar el principio de mínimos privilegios y segmentar la red para limitar el impacto potencial de un ataque. Si el servicio web se ejecuta con los privilegios mínimos necesarios y la red está segmentada por zonas de seguridad, se dificulta que el atacante pueda escalar privilegios o acceder a otros recursos sensibles.
La relevancia de contar con un plan de respuesta a incidentes y una estrategia de recuperación ante desastres. En caso de que se produzca una brecha de seguridad, es fundamental tener un protocolo establecido para contener, erradicar y recuperar el sistema afectado, así como para comunicar el incidente a las partes interesadas y reportar las lecciones aprendidas.

Las recomendaciones para una seguridad cibernética reforzada son las siguientes:

Realizar un inventario y una clasificación de los activos de información y los sistemas que los almacenan o procesan, identificando los más críticos y sensibles para el negocio.
Establecer una política de actualización y mantenimiento del software, incluyendo un proceso de evaluación y validación de los parches antes de su implementación en producción.
Implementar soluciones de seguridad perimetral, como firewalls, IDS/IPS o WAF, que protejan los sistemas expuestos a Internet y filtren el tráfico malicioso.
Utilizar herramientas de monitorización y análisis de logs que permitan detectar posibles intrusiones o anomalías en los sistemas críticos y generar alertas en tiempo real.
Aplicar medidas de hardening y cifrado en los sistemas operativos y las aplicaciones, siguiendo las buenas prácticas y estándares del sector.
Formar y concienciar al personal sobre los riesgos y las amenazas cibernéticas, así como sobre las medidas preventivas y correctivas que deben adoptar.
Elaborar un plan de respuesta a incidentes que defina los roles, responsabilidades y procedimientos ante una brecha de seguridad, así como un plan de recuperación ante desastres que garantice la continuidad del negocio.

La vulnerabilidad MOVEit Transfer ha sido un ejemplo más de la importancia de la seguridad cibernética en el entorno actual, donde los ciberataques son cada vez más frecuentes y sofisticados.

Es imprescindible adoptar una estrategia de seguridad proactiva y basada en el riesgo, que tenga en cuenta el contexto y las necesidades de cada organización, y que se apoye en la tecnología, los procesos y las personas.

Facebook: Eagle Tech Corp