Este jueves se revelaron los nombres de algunas de las principales entidades afectadas por la explotación de día cero en una vulnerabilidad del software MOVEit Transfer, que permitía la inyección SQL conducente a la ejecución código remoto.
MOVEit se ofrece como una solución de transferencia administrada de archivos (MFT), la que es gestionada localmente por el cliente y por el desarrollador a través de una plataforma SaaS (Software-as-a-Service) en la nube. MOVEit permite a las empresas transferir archivos de forma segura entre socios comerciales y clientes mediante cargas basadas en SFTP, SCP y HTTP.
Esta solución fue fabricada por Ipswitch, una empresa subsidiaria de Progress Software Corporation, con base en los Estados Unidos.
Entre las principales organizaciones afectadas por la explotación de la vulnerabilidad se encuentran varias organizaciones con base en Reino Unido, como la cadena de noticias BBC, las líneas aéreas British Airways y Air Lingus, así como la cadena de farmacias Boots, además del Gobierno de la Provincia de Nueva Escocia en Canadá y de la Universidad de Rochester en el Estado Nueva York, entre otras.
De acuerdo a las versiones de algunos afectados, los datos involucrados no son los mismos en cada organización, pero entre los más comunes estaban los domicilios, los números de seguros y hasta información bancaria.
La banda cibercrminal de ransomware Clop habría reivindicado el ataque, eso según lo que informaron varios medios, entre ellos la propia BBC, quienes señalaron que los actores de extorsión publicaron mensajes en la Dark Web advirtiendo a los afectados que, si no se contactaban con ellos antes del 14 de junio, los datos sustraídos serían filtrados. La única excepción sería, según los atacantes, los datos de las personas de servicios gubernamentales, municipales y policiales, aunque las autoridades desconfían de la palabra de los atacantes.
Durante la última semana, Progress Software Corporation publicó un aviso de seguridad advirtiendo a sus clientes sobre la vulnerabilidad de día cero en MOVEit MFT, entre cuyas consecuencias estaban la escalación de privilegios y los accesos no autorizados.
Mientras trabajaban en los parches correspondiente, Progress solicitó a sus clientes a seguir una serie de recomendaciones, como la búsqueda de archivos inesperados en la carpeta c:\MOVEit Transfer\wwwroot\, y el bloqueo temporal de los puertos 80 y 443 en el servidor de transferencia MOVEit, ello pese a que la medida interrumpía el normal funcionamiento de otros desarrollos del fabricante, como APIs y complementos de Outlook.
Todo apunta a que los atacantes habrían explotado la vulnerabilidad de día cero en MOVEit para colocar webshells especialmente diseñadas en los servidores, lo que les permitió recuperar una lista de archivos almacenados en el servidor, descargar archivos y robar credenciales.