Moveit Transfer Zero-Day
Los atacantes están explotando activamente una nueva vulnerabilidad crítica de día cero en el software MOVEit Transfer para extraer datos de las organizaciones. MOVEit Transfer es un software de transferencia de archivos gestionados (MFT), desarrollado por Progress, diseñado para proporcionar a las organizaciones una forma de transferir archivos de forma segura, que se puede implementar en las instalaciones o como una plataforma SaaS en la nube. Según BleepingComputer, los atacantes han estado explotando activamente MOVEit Transfer para descargar datos de organizaciones.
Además, los investigadores han observado la presencia de un webshell llamado human2.aspx en la carpeta raíz de varios servidores MOVEit, lo que indica que un atacante podría estar ejecutando exploits automatizados contra servidores MOVEit públicos. En este punto, todavía no hay un CVE asignado a esta vulnerabilidad.
Según un aviso publicado por Progress el 31 de mayo de 2023, el día cero consiste en una vulnerabilidad de inyección de código SQL en la aplicación web de MOVEit que podría conducir a la escalada de privilegios y la ejecución remota de código por parte de atacantes no autenticados. Una persona con malas intenciones podría aprovechar esta vulnerabilidad para acceder a la base de datos de MOVEit Transfer para robar datos o alterar elementos de la base de datos a través de SQL.
La vulnerabilidad afecta a todas las versiones de MOVEit Transfer. En este momento, no hay más detalles técnicos sobre esta vulnerabilidad. A partir del 2 de junio de 2023, el webshell que se encontró en servidores vulnerables y que se envió a VirusTotal sigue sin ser detectado por los motores antivirus.
Cuando se accede a webshell, verifica la presencia de una contraseña especificada en un encabezado llamado "X-siLock- Comment". Si la contraseña es incorrecta o el encabezado no se especificó en absoluto, la página devuelve un código de estado 404, que probablemente impida que cualquier otra persona, excepto el atacante, acceda al contenido.
Si el webshell se autentica correctamente, el atacante puede realizar una serie de acciones basadas en los valores de los encabezados "X-siLock-Step1", "X-siLock-Step2" y "X-siLock- Step3". El webshell brinda al atacante la capacidad de recopilar información y descargar archivos del servidor, insertar y eliminar una cuenta de usuario denominada "Servicio de verificación de estado" y robar detalles de configuración de las cuentas de Azure Blob Storage.
Mitigación.
Progress lanzó parches para MOVEit Transfer versiones 2023.0.1, 2022.1.5, 2022.0.4, 2021.1.4 y 2021.0.6. Para las versiones que aún no se han reparado, Progress recomienda a los clientes que bloqueen todo el tráfico HTTP y HTTPs entrante a los entornos de transferencia de MOVEit.
Los clientes de MOVEit Transfer también deben revisar y eliminar archivos y cuentas de usuario no autorizados, como instancias de los archivos de script human2.aspx y .cmdline, y usuarios con el nombre de "Health Check Service".
Indicadores de compromiso.
IOC Descrip+on
e8012a15b6f6b404a33f293205b602ece486d01337b8b3ec331cd99ccadb 562e
0b3220b11698b1436d1d866ac07cc90018e59884e91a8cb71ef8924309f1 e0e9
110e301d3b5019177728010202c8096824829c0b11bb0dc0bff55547ead1 8286
1826268249e1ea58275328102a5a8d158d36b4fd312009e4a2526f0b
2ccf7e42afd3f6bf845865c74b2e01e2046e541bb633d037b05bd1cdb296f a59
58cc<603cdc4d305fddd52b84ad3f58ff554f1af4d7ef164007cb843897616 6
98a30c7251cf622bd4abce92ab527c3f233b817a57519c2dd2bf8e3d3ccb7 db8
a8f6c1ccba662a908ef7b0cb3cc59c2d1c9e2cbbe1866937da81c4c616e68 986
b5ef11d04604c9145e4fe1bedaeb52f2c2345703d52115a5bf11ea56d7<6 b03
cec425b3383890b63f5022054c396f6d510fae436041add935cd6ce42033f 621
ed0c3e75b7ac2587a5892ca951707b4e0dd9c8b18aaf8590c24720d73aa6 b90c
0b3220b11698b1436d1d866ac07cc90018e59884e91a8cb71ef8924309f1 e0e9
110e301d3b5019177728010202c8096824829c0b11bb0dc0bff55547ead1 8286
1826268249e1ea58275328102a5a8d158d36b4fd312009e4a2526f0b
2ccf7e42afd3f6bf845865c74b2e01e2046e541bb633d037b05bd1cdb296f a59
58cc<603cdc4d305fddd52b84ad3f58ff554f1af4d7ef164007cb843897616 6
98a30c7251cf622bd4abce92ab527c3f233b817a57519c2dd2bf8e3d3ccb7 db8
a8f6c1ccba662a908ef7b0cb3cc59c2d1c9e2cbbe1866937da81c4c616e68 986
b5ef11d04604c9145e4fe1bedaeb52f2c2345703d52115a5bf11ea56d7<6 b03
cec425b3383890b63f5022054c396f6d510fae436041add935cd6ce42033f 621
ed0c3e75b7ac2587a5892ca951707b4e0dd9c8b18aaf8590c24720d73aa6 b90c
198.27.75[.]110
209.222.103[.]170
84.234.96[.]104
5.252.189[.]0/24
5.252.190[.]0/24
5.252.191[.]0/24
