MOVEit, el software de transferencia de archivos explotado en las últimas semanas en uno de los ciberataques más grandes de la historia, ha recibido otra actualización de seguridad que corrige una vulnerabilidad crítica que podría explotarse para dar acceso a los piratas informáticos a grandes cantidades de datos confidenciales. .

El jueves, el fabricante de MOVEit, Progress Software, publicó un boletín de seguridad que incluía arreglos para tres vulnerabilidades recién descubiertas en la aplicación de transferencia de archivos. El más grave de estos, rastreado como CVE-2023-36934, permite que un atacante no autenticado obtenga acceso no autorizado a la base de datos de la aplicación. Se deriva de una falla de seguridad que permite la inyección SQL, una de las clases de explotación más antiguas y comunes.

La vulnerabilidad contiene los mismos elementos (y probablemente las mismas consecuencias potencialmente devastadoras) que la que se expuso a fines de mayo cuando los miembros del sindicato del crimen del ransomware Clop comenzaron a explotarla en masa en redes vulnerables de todo el mundo. . Hasta la fecha, la ofensiva Clop ha afectado a 229 organizaciones y ha derramado datos que afectan a más de 17 millones de personas, según las estadísticas seguidas por Brett Callow, analista de la firma de seguridad Emsisoft. Las víctimas incluyen los DMV de Louisiana y Oregon, el Departamento de Educación de la ciudad de Nueva York y las compañías eléctricas Schneider Electric y Siemens Electric.

No hay informes conocidos sobre la explotación activa de la nueva vulnerabilidad, pero dada su gravedad y experiencia pasada, Progress Software y los profesionales de seguridad instan a todos los usuarios de MOVEit a que la instalen de inmediato. Además de CVE-2023-36934, la actualización de seguridad del jueves corrige dos vulnerabilidades adicionales. Todos ellos fueron descubiertos por las firmas de seguridad HackerOne y Trend Micro.

Desarrolladores, conozcan a Bobby Tables

Una cosa que hace que CVE-2023-36934 y la vulnerabilidad anterior explotada por Clop sean tan críticas es que las personas pueden explotarlas cuando ni siquiera han iniciado sesión en el sistema que están pirateando. Ambos también se derivan de errores que permiten la inyección SQL, una clase de vulnerabilidad con una larga historia de abuso. A menudo abreviado como SQLi, se deriva de la falla de una aplicación web para consultar correctamente las bases de datos de back-end. La sintaxis SQL utiliza apóstrofes para indicar el principio y el final de una cadena de datos. Los apóstrofes permiten a los analizadores de SQL distinguir entre cadenas de datos y comandos de bases de datos.

Las aplicaciones web mal escritas a veces pueden interpretar los datos ingresados ​​como comandos. Los piratas informáticos pueden explotar estos errores ingresando cadenas que incluyen apóstrofes u otros caracteres especiales en los campos web que hacen que las bases de datos de back-end hagan cosas que los desarrolladores nunca pretendieron hacer. Estos tipos de ataques han formado la base de algunos de los mayores compromisos de la historia. Además de la reciente juerga de Clop, otros dos ejemplos notables incluyen el pirateo de Heartland Payment Systems de 2007 que permitió al pirata informático convicto Albert Gonzalez obtener 130 millones de detalles de tarjetas de crédito y el compromiso de HBGary de 2011.

La inyección de SQL es el tema de una caricatura de xkcd que presenta a Bobby Tables, un estudiante cuyo nombre completo es “Robert”); DEJEN LA MESA Estudiantes;–?” (sin las comillas). Cuando el sistema informático de la escuela intenta procesar su nombre, interpreta solo “Robert” como datos y procesa “DROP TABLE” como el peligroso comando SQL para eliminar datos. Como resultado, la escuela pierde los registros de todo un año.

Una segunda vulnerabilidad corregida en la actualización de seguridad de MOVEit del jueves también es el resultado de errores de SQLi. Progress Software dijo que “podría permitir que un atacante autenticado obtenga acceso no autorizado a la base de datos de MOVEit Transfer. Un atacante podría enviar una carga útil manipulada a un punto final de la aplicación MOVEit Transfer, lo que podría resultar en la modificación y divulgación del contenido de la base de datos MOVEit”.

La tercera vulnerabilidad corregida, CVE-2023-36933, permite a los hackers salir de la aplicación MOVEit de forma inesperada. Las dos últimas vulnerabilidades tienen una gravedad descrita como alta.

Las vulnerabilidades afectan a varias versiones de MOVEit Transfer, desde la 12.0.xa la 15.0.x. Dado el daño que resultó de la explotación masiva de Clop de la vulnerabilidad anterior de MOVEit, los últimos parches deben instalarse lo antes posible. Lo siento administradores, pero si eso requiere trabajar hasta tarde un viernes o durante el fin de semana, esa es una mejor opción que despertarse con un mundo de dolor el lunes por la mañana.