moveit
Threat Research

Nueva vulnerabilidad en MOVEit: “Desactiva el tráfico HTTP y HTTPS inmediatamente”

¡Más caos en MOVEit! “Desactiva el tráfico HTTP y HTTPS a MOVEit Transfer”, dice Progress Software, y el plazo para hacerlo es “inmediatamente”, sin peros.

Progress Software es el fabricante del software de intercambio de archivos MOVEit Transfer, y de la alternativa MOVEit Cloud que se basa en él, y ésta es su tercera advertencia en tres semanas sobre vulnerabilidades en su producto.

A finales de mayo de 2023, se descubrió que delincuentes de ciber extorsión asociados a la banda de ransomware Clop utilizaban un exploit de día cero para entrar en servidores que ejecutaban el front-end web del producto MOVEit.

Enviando comandos de base de datos SQL deliberadamente malformados a un servidor MOVEit Transfer a través de su portal web, los delincuentes podían acceder a las tablas de la base de datos sin necesidad de contraseña, e implantar malware que les permitía volver más tarde a los servidores comprometidos, aunque hubieran sido parcheados mientras tanto.

Al parecer, los atacantes han estado robando datos confidenciales de la empresa, como los las nóminas de los empleados, y exigiendo pagos a cambio de “borrar” los datos robados.

Ya a principios de junio de 2023 te explicamos cómo parchea, y qué podías buscar en caso de que los ciberdelincuentes ya te hubieran hecho una visita

Segunda advertencia

A esta advertencia le siguió, la semana pasada, una actualización de Progress Software.

Mientras investigaban el agujero de día cero que acababan de parchear, los desarrolladores de Progress descubrieron fallos de programación similares en otras partes del código.

Por ello, la empresa publicó un nuevo parche, instando a los clientes a aplicar esta nueva actualización de forma proactiva, suponiendo que los cibercriminales (cuyo día cero acababa de ser inutilizado por el primer parche) también estarían buscando otras formas de volver a entrar, como explicamos en el podcast de Naked Security de esta semana:

El 2023-06-09, Progress publicó otro parche para hacer frente a fallos similares que, por lo que saben, los delincuentes aún no han encontrado (pero si buscan bien, puede que lo hagan).

Y, por raro que suene, cuando descubres que una parte concreta de tu software tiene un fallo de un tipo determinado, no debería sorprenderte si, cuando profundizas descubres que el programador (o el equipo de programación que trabajó en él en el momento en que se introdujo el fallo que ya conoces) cometió errores similares más o menos en la misma época.

A la tercera va la vencida

Pues bien, parece que un rayo acaba de caer por tercera vez consecutiva en el mismo lugar.

Esta vez, parece que alguien ha realizado lo que en la jerga se conoce como una “revelación completa” (en la que los fallos se revelan al mundo al mismo tiempo que al fabricante, con lo que éste no tiene margen de maniobra para publicar un parche de forma proactiva), o “dejar caer un 0-day”.

Progress acaba de informar:

Hoy [2023-06-15], un tercero ha publicado una nueva vulnerabilidad [de inyección SQL]. Hemos retirado el tráfico HTTPS de MOVEit Cloud en vista de la nueva vulnerabilidad publicada y pedimos a todos los clientes de MOVEit Transfer que retiren inmediatamente su tráfico HTTP y HTTPS para salvaguardar sus entornos mientras se finaliza el parche. Actualmente estamos probando el parche y actualizaremos a los clientes en breve.

En pocas palabras, hay un breve periodo de día cero durante el cual circula un exploit que funciona, pero el parche aún no está listo.

Como Progress ha mencionado antes, este grupo de los denominados fallos de inyección de comandos (en los que envías lo que deberían ser datos inofensivos que luego se invocan como un comando del servidor) solo pueden activarse a través del portal web de MOVEit, mediante peticiones HTTP o HTTPS.

Afortunadamente, eso significa que no necesitas apagar todo tu sistema MOVEit, solo el acceso basado en la web.

¿Qué hay que hacer?

Citando el documento de consejos de Progress Software del 2023-06-15:

Desactiva todo el tráfico HTTP y HTTPs a tu entorno MOVEit Transfer. Más concretamente:

    • Modifica las reglas del firewall para denegar el tráfico HTTP y HTTPs a MOVEit Transfer en los puertos 80 y 443.
    • Es importante tener en cuenta que hasta que no se vuelva a habilitar el tráfico HTTP y HTTPS:
      • Los usuarios no podrán acceder a la interfaz web de MOVEit Transfer.
      • Las tareas de MOVEit Automation que utilicen el host nativo de MOVEit Transfer no funcionarán.
      • Las API REST, Java y .NET no funcionarán.
      • El complemento de MOVEit Transfer para Outlook no funcionará.
    • Los protocolos SFTP y FTP/s seguirán funcionando normalmente.

Estate atento al tercer parche de esta saga, en el que suponemos que Progress dará el visto bueno para volver a activar el acceso web aunque nos alegraríamos si decidieras mantenerlo desactivado un tiempo más, para estar completamente seguros.