Vulnerabilidades de las transferencias MOVEit: Cómo los clientes pueden mitigar los daños

El año pasado se produjo una vulnerabilidad devastadora que afectó a más de 2.300 organizaciones, entre ellas el Departamento de Energía de Estados Unidos, Shell y British Airways.el servicio gestionado de transferencia de archivos MOVEit Transfer ha revelado recientemente dos nuevas vulnerabilidades graves en su software.

¿Cuáles son estas nuevas vulnerabilidades, cuál es su gravedad y qué deben hacer los clientes de MOVEit para solucionarlas? Siga leyendo para averiguarlo.

• ¿Cuáles son las vulnerabilidades actuales de MOVEit?
• ¿Cuál es la gravedad de las vulnerabilidades actuales de MOVEit?
• ¿Ha abordado MOVEit el problema?
• ¿Qué deben hacer los clientes de MOVEit?
• Envíe archivos de forma segura -sin abrir puertos- con MASV

¿Cuáles son las vulnerabilidades actuales de MOVEit?

El nuevas vulnerabilidadesconocidos como CVE-2024-5805 y CVE-2024-5806, ambos permiten a los hackers eludir las salvaguardas de autenticación de usuarios de MOVEit, propiedad de Progress Software:

• CVE-2024-5805: Vulnerabilidad de autenticación en Progress MOVEit Gateway (módulo SFTP) que afecta a MOVEit Gateway 2024.0.0.
• CVE-2024-5806: Vulnerabilidad de autenticación en Progress MOVEit Transfer (módulo SFTP) que afecta a las versiones 2023.0.0 anterior a 2023.0.11, 2023.1.0 anterior a 2023.1.6 y 2024.0.0 anterior a 2024.0.2.

MOVEit permite a los clientes utilizar varios protocolos de transferencia de archivos diferentes, incluyendo SCP, HTTP y SFTP. Estas vulnerabilidades afectan únicamente al módulo SFTP.

Las vulnerabilidades permiten a los piratas informáticos vulnerar los sistemas de MOVEit de diferentes maneras. Por ejemplo, la empresa de seguridad watchTowr describió dos posibles vectores de ataque derivados de CVE-2024-5806:

1. Asumir la identidad de un usuario de confianza: Uso de una cadena nula (una cadena sin valor) como clave pública de cifrado durante la autenticación, lo que permite a los piratas informáticos iniciar sesión como usuarios de confianza. De las dos, esta se considera la vulnerabilidad más grave.
2. Autenticación forzada: Manipulación de rutas de claves públicas de Secure Shell (SSH) para forzar una autenticación utilizando un servidor SMB malicioso y un nombre de usuario válido.

¿Cuál es la gravedad de las vulnerabilidades actuales de MOVEit?

Son muy graves: ambas vulnerabilidades obtuvieron una puntuación de gravedad de 9,1/10 (crítica) en el sistema Common Vulnerability Scoring System (CVSS).

Y Ars Technica describió CVE-2024-5806 como una vulnerabilidad que pone "enormes franjas de Internet en riesgo de sufrir hackeos devastadores", y añadió que los piratas informáticos habían empezado a intentar explotarla pocas horas después de su revelación.

Tras realizar un análisis de Internet, la empresa de ciberseguridad Censys dice que ha detectado 2.700 casos de transferencia MOVEit en línea, la mayoría en Estados Unidos.

"Hemos solucionado la vulnerabilidad de MOVEit Transfer y el equipo de Progress -MOVEit recomienda encarecidamente realizar una actualización a la última versión que aparece en la siguiente tabla", ha señalado Progress en un comunicado en su sitio web comunitario (véase la información sobre las actualizaciones de versiones en la sección siguiente).

Para empeorar las cosas, sin embargo, Progress dice que otra vulnerabilidad descubierta recientemente (no revelada) en un componente de terceros aumenta aún más el riesgo de CVE-2024-5806.

"Una vulnerabilidad recientemente identificada en un componente de terceros utilizado en MOVEit Transfer eleva el riesgo del problema original mencionado anteriormente si se deja sin parchear. Aunque el parche distribuido por Progress el 11 de junio soluciona satisfactoriamente el problema identificado en CVE-2024-5806, esta vulnerabilidad de terceros recientemente revelada introduce un nuevo riesgo."

¿Ha abordado MOVEit el problema?

Progress Software publicó hotfixes para CVE-2024-5806 con versiones 2023.0.11, 2023.1.6, y 2024.0.2. CVE-2024-5805 se solucionó con la versión 2024.0.1.

Si es cliente de MOVEit, es importante que actualice su software a una versión segura lo antes posible.. Si no está seguro de qué versión del software MOVEit tiene, puede comprobarlo utilizando este enlace.

¿Qué deben hacer los clientes de MOVEit?

Los clientes de MOVEit pueden tomar medidas para garantizar la seguridad de sus datos.

• La primera tarea de cualquier administrador de sistemas es aplicar inmediatamente las revisiones suministradas por Progress, además de realizar una supervisión proactiva del sistema en busca de indicadores de acceso no autorizado (especialmente recientemente). Lamentablemente, para aplicar estos parches es necesario desconectar temporalmente todo el sistema, lo que puede suponer un enorme lastre para la productividad.
• Las empresas también pueden implantar programas informáticos como Fail2Banun demonio de prevención de intrusiones que protege contra los ataques de fuerza bruta prohibiendo las IP que generan múltiples intentos de autenticación fallidos.
• Considere la posibilidad de implantar un Gestión de identidades y accesos Zero Trustt (IAM). Aunque las soluciones Zero Trust pueden causar cierta fricción entre los empleados, degradación del rendimiento de las aplicaciones y son relativamente caras, las herramientas de proveedores como Cloudflare y Zscaler pueden mitigar significativamente el impacto de este tipo de vulnerabilidad.
• Por fin, para evitar este tipo de situaciones en primer lugar, utilice software de transferencia de archivos que no requiera la apertura de puertos de entrada y, si debe hacerlo, no deje esos puertos abiertos más tiempo del absolutamente necesario. MOVEit exige a sus clientes que puertos abiertos para que su software funcione. Pero los hackers pueden utilizar herramientas de escaneo de puertos para determinar rápidamente qué puertos ha dejado abiertos una empresa, junto con si esos puertos son utilizados por una instancia de MOVEit (u otro software), y luego intentar entrar por fuerza bruta.