{"id":3657,"date":"2023-07-31T20:05:16","date_gmt":"2023-08-01T01:05:16","guid":{"rendered":"https:\/\/www.itechsas.com\/blog\/?p=3657"},"modified":"2024-11-18T14:56:00","modified_gmt":"2024-11-18T19:56:00","slug":"mas-de-500-organizaciones-atacadas-por-cero-day-moveit","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/ciberseguridad\/mas-de-500-organizaciones-atacadas-por-cero-day-moveit\/","title":{"rendered":"Mas de 500 organizaciones atacadas por cero day MOVEit"},"content":{"rendered":"\n

Las empresas en las que conf\u00edas tus datos no son las \u00fanicas que los manejan. Los proveedores, subcontratistas, anunciantes y otras empresas a menudo est\u00e1n en la mitad y cuando uno es atacado los dem\u00e1s se ven afectados. Eso es precisamente lo que sucedi\u00f3 cuando los malos se aprovecharon de una falla de seguridad en el popular sistema de transferencia de archivos MOVEit<\/strong> Transfer<\/strong>. <\/p>\n\n\n\n

El 31 de mayo de 2023, Progress Software Corporation (\u00abProgress Software\u00bb), public\u00f3 un aviso sobre una vulnerabilidad \u00abcr\u00edtica<\/strong>\u00bb en MOVEit Transfer, un software de transferencia segura de archivos administrados (MFT) utilizado por una variedad de organizaciones. Tras la publicaci\u00f3n de su aviso, han surgido informes de que la falla hab\u00eda sido explotada en la naturaleza como un d\u00eda cero.<\/p>\n\n\n\n

\"\"<\/a>
MOVEit Transfer Critical Vulnerability (CVE-2023-34362) – Progress Community<\/a><\/figcaption><\/figure>\n\n\n\n

La vulnerabilidad identificada como CVE-2023-34362<\/a>, es una vulnerabilidad de inyecci\u00f3n SQL <\/strong>en la aplicaci\u00f3n web MOVEit Transfer. Un atacante remoto no autenticado podr\u00eda aprovechar esta vulnerabilidad si env\u00eda una solicitud especialmente dise\u00f1ada a una instancia de transferencia MOVEit vulnerable. Una explotaci\u00f3n exitosa dar\u00eda a un atacante acceso a la instancia de transferencia MOVEit subyacente. Adem\u00e1s, informaci\u00f3n sobre la estructura y el contenido de la base de datos\u00bb dependiendo del motor de base de datos espec\u00edfico en uso (como MySQL, Microsoft SQL Server o Azure SQL).<\/p>\n\n\n\n

Seg\u00fan un informe<\/a> de Mandiant, se han detectado intentos de explotaci\u00f3n de esta vulnerabilidad desde el 27 de mayo de 2023 por el grupo de ransomware denominado CL0P<\/strong>, cuya sede parece estar en Rusia o Europa Oriental, el cual tiene una motivaci\u00f3n financiera y se sabe que este extorsiona a sus v\u00edctimas a trav\u00e9s de la exfiltraci\u00f3n de datos. <\/p>\n\n\n\n

Los atacantes han aprovechado la vulnerabilidad SQLi para implementar un shell web ASP.NET personalizado (LEMURLOOT) con el fin de lograr persistencia en las redes de las v\u00edctimas y facilitar un ataque posterior.<\/p>\n\n\n\n

Miles de organizaciones en todo el mundo utilizan MOVEit de Progress Software para cifrar y enviar archivos. El ataque ha impactado a m\u00e1s de 500 organizaciones hasta el momento y al menos 33 divulgaciones de violaci\u00f3n de datos han afectado a m\u00e1s de 34,5 millones de personas.<\/strong><\/p>Desastre de violaci\u00f3n de datos: la violaci\u00f3n de seguridad de MOVEit lo pone en riesgo (komando.com)<\/a><\/cite><\/blockquote><\/figure>\n\n\n\n

El grupo CL0p aprovecho la vulnerabilidad y lanz\u00f3 ataques de ransomware, tomando archivos de compa\u00f1\u00edas que a\u00fan no hab\u00edan solucionado la falla. Los funcionarios todav\u00eda est\u00e1n investigando qu\u00e9 tan profundo es esto.<\/p>\n\n\n\n

Lista de Organizaciones afectadas MOVEit en el mundo <\/h2>\n\n\n\n

Los delincuentes obtuvieron datos de una gran cantidad de organizaciones de renombre y agencias gubernamentales como:<\/p>\n\n\n\n