È stata rilevata una vulnerabilità zero-day con gravità “critica” nel software MOVEit Transfer di Progress: qualora sfruttata, consentirebbe a un utente malintenzionato remoto l’escalation dei privilegi e l’accesso non autorizzato sui sistemi interessati.
MOVEit Transfer è una soluzione MFT (Managed File Transfer) che consente alle aziende di trasferire in modo sicuro i file utilizzando SFTP, SCP e caricamenti basati su http.
La vulnerabilità è di tipo “SQL Injection”, indicata con CVE-2023-34362, presente nell’applicazione web e ha una stima d’impatto sulla comunità di riferimento GRAVE/ROSSO. Consente a un utente malintenzionato di accedere al database, recuperare informazioni sulla struttura e il contenuto del database, oltre a eseguire istruzioni SQL per modificare o cancellare dati del database.
Questa vulnerabilità interessa i seguenti prodotti e versioni Progress MOVEit Transfer:
- 2023.0.0, versioni precedenti alla 2023.0.1
- 2022.1.x, versioni precedenti alla 2022.1.5
- 2022.0.x, versioni precedenti alla 2022.0.4
- 2021.1.x, versioni precedenti alla 2021.1.4
- 2021.0.x, versioni precedenti alla 2021.0.6
Lo sviluppatore (Progress Software) ha confermano il problema a fine maggio e rilasciato le patch per tutte le versioni interessate, ma è stata già attivamente sfruttata con attacchi che hanno portato al furto di dati aziendali e alle richieste di riscatto a scopo estorsivo.
La società ha anche condiviso gli indicatori di compromissione (IoC) per questo attacco e raccomandato ai clienti di seguire le mitigazioni proposte seguendo le indicazioni del bollettino di sicurezza e di contattare immediatamente i suoi team di sicurezza e IT laddove notino uno qualsiasi degli indicatori.
https://www.csirt.gov.it/contenuti/vulnerabilita-in-moveit-transfer-al02-230601-csirt-ita
https://www.punto-informatico.it/moveit-transfer-exploit-consente-rubare-dati/