Organizaciones de todo el mundo están informando “breaches” de datos resultantes de ataques a la popular aplicación web MOVEit Transfer para transferencias de archivos. Después de afianzarse a través de una vulnerabilidad de inyección de SQL, los atacantes instalan un web shell y extraen todos los datos que pueden encontrar. Esta publicación resume lo que se sabe actualmente sobre los métodos de remediación, breaches y ataques en curso.
Lo que necesitas saber
- Las versiones sin parches de la aplicación web de administración de archivos MOVEit Transfer son extremadamente vulnerables a la inyección de SQL (informado como CVE-2023-34362).
- La vulnerabilidad afecta a todas las versiones de MOVEit Transfer anteriores a 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) y 2023.0.1 (15.0.1).
- Desde al menos el 27 de mayo, la vulnerabilidad ha sido explotada a gran escala por un conocido grupo de ciberdelincuencia. Los delincuentes extraen todos los datos que pueden obtener después de instalar el web shell LEMURLOOT como puerta trasera.
- Se recomienda a todas las organizaciones que utilizan MOVEit Transfer que bloqueen de inmediato todo el tráfico HTTP hacia y desde la aplicación, investiguen las señales de compromiso y apliquen la solución oficial (consulte la guía oficial del proveedor).
- La vulnerabilidad también se ha detectado en MOVEit Cloud, la aplicacion fue parchada el 9 de junio, se recomienda a los usuarios revisar los logs en busca de descargas de archivos sospechosas, así como los logs de acceso.
Quién está afectado o puede estarlo pronto
El propio Progress (fabricante) afirma que MOVEit Transfer es utilizado por “miles de organizaciones en todo el mundo”, incluidas empresas y entidades gubernamentales. Cualquier organización que utilice una versión anterior al 31 de mayo de MOVEit Transfer puede ser vulnerable y debe tomar medidas inmediatas para bloquear el tráfico HTTP hacia y desde la aplicación, investigar si hay signos de compromiso y actualizar a una versión reparada.
Cómo funciona el truco de MOVEit Transfer
Como se ha documentado hasta ahora, el ataque comienza con una inyección SQL que permite el acceso a la base de datos MOVEit de una organización. Si bien esto en sí mismo sería suficiente para extraer algunos datos, el peligro principal proviene de un web shell LEMURLOOT personalizado que está asociado con el archivo human2.aspx, cuyo nombre imita uno de los archivos legítimos de MOVEit. Una vez instalado, esto establece una puerta trasera que permite a los atacantes acceder a la cuenta subyacente de Azure Storage, explorar la información disponible y mover grandes cantidades de datos.
La vulnerabilidad informada por Progress solo menciona la inyección de SQL, pero el uso confirmado de un shell web sugirió que solo proporciona un punto de apoyo inicial que luego permite la ejecución remota de código (RCE) o la inyección de comandos, quizás combinada con una vulnerabilidad de carga de archivos por separado. La investigación realizada por John Hammond ha confirmado que la cadena de ataque incluye RCE para compilar el web shell como un archivo DLL basado en los datos proporcionados en human2.aspx.
El web shell LEMURLOOT se comunica con su operador a través de HTTP, utilizando campos header HTTP personalizados para recibir comandos y devolver datos. El shell se adapta a los entornos de MOVEit, lo que permite a los atacantes explorar los archivos disponibles, crear una cuenta de usuario temporal, extraer la configuración de Azure y descargar datos.
Fuente: Invicti
