Víctimas de MOVEit SQL inyección cero
Sergey Nivens - stock.adobe.com
Múltiples organizaciones ahora se están presentando para revelar que se han visto afectadas por ataques cibernéticos que se originaron a través de una vulnerabilidad recientemente revelada en el producto de transferencia de archivos MOVEit de Progress Software, que está siendo ampliamente explotada, incluso por operadores de ransomware.
En las últimas 24 horas, organizaciones como la BBC, Boots y British Airways (BA) confirmaron que se vieron afectadas, y la BBC le dijo al personal que los números de identificación, las fechas de nacimiento, las direcciones de las casas y los números de la Seguridad Social se vieron comprometidos en el incidente. . También se ha dicho al personal de BA que sus datos bancarios pueden haber sido robados.
En el caso de BA y otros, el incidente comenzó a través de los sistemas de Zellis, un proveedor de servicios de TI para los departamentos de nómina y recursos humanos. Un portavoz de Zellis confirmó que un "pequeño número" de clientes de la organización se había visto afectado.
"Todo el software propiedad de Zellis no se ve afectado y no hay incidentes ni compromisos asociados con ninguna otra parte de nuestro patrimonio de TI", dijo el vocero.
"Una vez que nos dimos cuenta de este incidente, tomamos medidas inmediatas, desconectamos el servidor que utiliza el software MOVEit y contratamos a un equipo externo experto en respuesta a incidentes de seguridad para ayudar con el análisis forense y el monitoreo continuo", agregaron.
Zellis dijo que ha notificado a las autoridades pertinentes tanto en el Reino Unido como en Irlanda, incluida la Oficina del Comisionado de Información (ICO) y la Comisión de Protección de Datos de Irlanda (DPC).
Un portavoz de BA dijo: "Se nos ha informado que somos una de las empresas afectadas por el incidente de seguridad cibernética de Zellis que ocurrió a través de uno de sus proveedores externos llamado MOVEit. Zellis brinda servicios de soporte de nómina a cientos de empresas en el Reino Unido, de los cuales somos uno.
"Este incidente ocurrió debido a una vulnerabilidad nueva y previamente desconocida en una herramienta de transferencia de archivos MOVEit ampliamente utilizada. Hemos notificado a aquellos colegas cuya información personal se ha visto comprometida para brindar apoyo y asesoramiento".
Se entiende que la matriz de BA, IAG, está trabajando para apoyar a aquellos que puedan verse afectados, y también ha informado del incidente al ICO por su propia cuenta.
Un portavoz del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido dijo que la agencia estaba monitoreando de cerca la situación.
"Estamos trabajando para comprender completamente el impacto en el Reino Unido luego de los informes de una vulnerabilidad crítica que afecta al software MOVEit Transfer que está siendo explotado", dijeron. "El NCSC recomienda encarecidamente a las organizaciones que tomen medidas inmediatas siguiendo los consejos de mejores prácticas de los proveedores y aplicando las actualizaciones de seguridad recomendadas".
El producto de software MOVEit Managed File Transfer (MFT) fue inicialmente desarrollado y lanzado a principios de la década de 2000 por una empresa llamada Standard Networks. Posteriormente, esta empresa fue adquirida por el especialista en software de red Ipswitch, que a su vez fue comprado por Progress en 2019.
El miércoles 31 de mayo de 2023, Progress anunció que había descubierto y reparado una vulnerabilidad crítica en MOVEit que afectaba a todos los usuarios del producto de transferencia MOVEit.
Rastreado como CVE-2023-34362, el error es una vulnerabilidad de inyección SQL que podría permitir que un actor no autenticado acceda a la base de datos MOVEit Transfer del usuario y, dependiendo de si están usando MySQL, Microsoft SQL Server o Azure SQL como su motor de base de datos. – inferir información sobre el contenido de la base de datos, y ejecutar sentencias SQL que alteren o eliminen elementos de la misma.
Múltiples empresas de seguridad han estado rastreando la explotación de CVE-2023-34362 durante la última semana, incluidas Microsoft, Mandiant y Rapid7.
Microsoft dijo que estaba preparado para atribuir los ataques que explotan la vulnerabilidad a un actor de amenazas que ahora está rastreando como Lace Tempest, un operador de ransomware que es mejor conocido por ejecutar la operación Clop (también conocida como Cl0p).
Cl0p es una cepa particularmente virulenta de ransomware y sus operadores son ampliamente conocidos por ser especialmente parciales a los problemas que afectan los procesos de transferencia de archivos. A principios de este año, estuvieron detrás de una serie de ataques que explotaron una vulnerabilidad en la herramienta Fortra GoAnywhere MFT para atacar los sistemas de más de 90 víctimas, incluida la empresa de almacenamiento y seguridad Rubrik.
Mandiant dijo que también había observado al menos a un actor asociado con Clop que buscaba socios para trabajar en vulnerabilidades de inyección SQL, pero que no tenía suficiente evidencia para determinar un vínculo entre la actividad asociada con la vulnerabilidad MOVEit y la banda de ransomware. Sus analistas dijeron que esperaban que más víctimas comenzaran a recibir demandas de rescate en las próximas semanas.
Rapid7 dijo que el comportamiento que había observado al explotar CVE-2023-34362 era principalmente oportunista en lugar de un objetivo.
Sus analistas dijeron: "La uniformidad de los artefactos que estamos viendo podría ser plausiblemente el trabajo de un solo actor de amenazas que lanza un exploit indiscriminadamente a los objetivos expuestos".
Un portavoz de MOVEit dijo: "Nuestros clientes han sido, y siempre serán, nuestra principal prioridad. Cuando descubrimos la vulnerabilidad, iniciamos una investigación de inmediato, alertamos a los clientes de MOVEit sobre el problema y brindamos medidas de mitigación inmediatas. Inhabilitamos el acceso web a MOVEit Cloud para proteger a nuestros clientes de la nube, desarrolló un parche de seguridad para abordar la vulnerabilidad, lo puso a disposición de nuestros clientes de MOVEit Transfer y parcheó y volvió a habilitar MOVEit Cloud, todo en 48 horas. validaciones para garantizar que el parche haya corregido el exploit". Continuamos trabajando con expertos en seguridad cibernética líderes en la industria para investigar el problema y asegurarnos de que tomamos todas las medidas de respuesta adecuadas. Nos hemos comprometido con la policía federal y otras agencias con respecto a la vulnerabilidad. También estamos comprometidos a desempeñar un papel de liderazgo y colaboración en el esfuerzo de toda la industria para combatir a los ciberdelincuentes cada vez más sofisticados y persistentes que intentan explotar maliciosamente las vulnerabilidades en los productos de software de uso generalizado. Hay detalles adicionales disponibles en los artículos de nuestra base de conocimiento para MOVEit Transfer y MOVEit Cloud".
El jefe de análisis de amenazas de Darktrace, Toby Lewis, dijo que aunque CVE-2023-34362 no parece proporcionar suficiente acceso para implementar ransomware directamente, ni permitir que un atacante se mueva lateralmente a través de la red de la víctima, aún era posible que fuera de utilizar a un operador como Clop.
"Si se transfiere material confidencial a través de MOVEit, este exploit puede exponer a las empresas a la extorsión con la amenaza de publicación de datos robados", dijo.
"Zellis es solo un cliente de MOVEit y es probable que haya otras organizaciones afectadas que aún no se hayan revelado. Es probable que Zellis haya sido víctima de exploración y explotación oportunistas; esto puede haber estado ocurriendo durante varias semanas, aunque solo se reveló públicamente la semana pasada. Este incidente parece estar limitado al robo de datos de los clientes de la plataforma MOVEit ", dijo.
El CISO de ReliaQuest, Rick Holland, dijo que el incidente aún estaba en sus primeras etapas y que tomaría algún tiempo para desarrollarse.
"La cantidad de víctimas en esta campaña actual aún está por verse, pero cualquier organización que haya expuesto las soluciones vulnerables de MOVEit en Internet debe asumir una infracción", dijo Holland a Computer Weekly en comentarios enviados por correo electrónico.
"Como hemos visto con otras vulnerabilidades, hay un frenesí de alimentación una vez que la vulnerabilidad se hace pública; si Clop no comprometió MOVEit, otros actores de amenazas podrían haberlo hecho. Las organizaciones que no han recibido una nota de rescate no deben asumir que están en peligro". el claro
"Es probable que el grupo de amenazas haya comprometido a tantas organizaciones que les puede llevar tiempo trabajar en la cola de víctimas", agregó.
Este artículo fue editado el miércoles 7 de junio a las 2:20 p. m. para incorporar una declaración de MOVEit
1 de junio: 5 de junio: