Independientemente de que conozcas o no la aplicación de intercambio de archivos corporativos MOVEit Transfer, merece la pena analizar cómo se desarrolló el ataque, aunque solo sea por la magnitud del caso: cientos de organizaciones se vieron afectadas, incluidas, entre muchas otras, Shell, el Departamento de Educación del Estado de Nueva York, la BBC, Boots, Aer Lingus, British Airways, varios proveedores del sector sanitario con proyección internacional, la Universidad de Georgia y Heidelberger Druck. Algo que resulta triste e irónico a la vez es que los creados de MOVEit Transfer, Ipswitch (ahora parte de una empresa llamada Progress), promocionan la herramienta como un “Software de transferencia segura de archivos administrados para empresas”. En concreto se trata de un sistema de transferencia gestionada de archivos (MFT) que ayuda a los empleados a compartir archivos pesados con sus contratistas a través de SFTP, SCP y HTTP, ofreciéndose como una solución en la nube u on-premise.
Esta serie de incidentes debe servir de ejemplo para todos aquellos a cargo de la seguridad de la información en cualquier organización.
Cómo se desarrolló el ataque
No profundizaremos en los detalles del tormentoso mes y medio en el que se han visto envueltos los usuarios de MOVEit, pero sí nos centraremos en los aspectos más importantes.
El 27 de mayo del 2023 comenzaron a aparecer los primeros reportes de actividad sospechosa en las redes de muchas organizaciones usuarias de MOVEit Transfer. De acuerdo con una investigación, los actores maliciosos se estaban aprovechando de una vulnerabilidad desconocida para robar datos ejecutando solicitudes SQL.
El 31 de mayo, Progress publicó su primer boletín de seguridad, en el que resumía las medidas que habían tomado hasta la fecha, además de una serie de recomendaciones para evitar el ataque. En principio la empresa pensaba que el problema estaba limitado a las instalaciones on-premise, pero más tarde descubrió que la versión en la nube también se había visto afectada. MOVEit Cloud quedó temporalmente bloqueada para poder investigarla y parchearla adecuadamente. Los investigadores de Rapid7 identificaron un total de 2500 servidores on-premise vulnerables.
El 2 de junio, se asignó el identificador CVE-2023-34362 a la vulnerabilidad y una escala CVSS de 9,8 (sobre 10). Los investigadores del incidente atribuyeron la amenaza al grupo de ransomware cl0p. Por otro lado, los investigadores de Kroll reportaron el 9 de junio que el exploit de MOVEit podría haber estado en pruebas desde el 2021. Además, los investigadores demostraron que la cadena de ciberataques no habría acabado en una inyección SQL y que podría incluir la ejecución de código.
Progress fue más allá de únicamente parchear el software. La compañía inició una auditoria de código, permitiendo que la empresa Huntress reprodujera la cadena de exploit al completo y descubriera otra vulnerabilidad, la CVE-2023-35036, que se solucionaría el 9 de junio como anunciaron en el próximo boletín. Pero antes de que muchos administradores tuvieran tiempo de instalar el parche, Progress descubrió otro problema, la CVE-2023-35708, que anunció en su boletín del 15 de junio. MOVEit Cloud tuvo que bloquearse de nuevo durante 10 horas para poder aplicar todas las soluciones.
El 15 de junio también fue un día relevante dado que los ciberdelincuentes publicaron información de algunas de las víctimas y comenzaron las negociaciones de rescate. Dos días después, el gobierno de Estados Unidos prometió una recompensa de hasta 10 millones de dólares a cambio de información sobre el grupo.
El 26 de junio, Progress anunció que bloquearía MOVEit Cloud durante 3 horas el 2 de julio para fortalecer la seguridad del servidor.
El 6 de julio los desarrolladores publicaron otra actualización que ponía solución a 3 vulnerabilidades más, una de ellas crítica (CVE-2023-36934, CVE-2023-36932 y CVE-2023-36933).
Los servicios de intercambio de archivos como un cómodo vector de ataque
El ataque a MOVEit Transfer de mayo no es el primero de su tipo. En enero se lanzaron una serie de ataques similares dirigidos al GoAnywhere MFT de Fortra y a finales del 2020 hubo una explotación masiva de una vulnerabilidad en Accellion FTA.
Muchos ataques tienen como objetivo el acceso privilegiado a los servidores o la ejecución de código arbitrario, lo que también sucedió en este caso, pero a menudo el objetivo de los ciberdelincuentes ha sido la ejecución de un ataque rápido y de bajo riesgo para obtener acceso a las bases de datos de un servicio de intercambio de archivos. Esto les ayuda a hacerse con los archivos sin necesidad de penetrar en el sistema para no permanecer demasiado tiempo bajo el radar. Después de todo, descargar archivos que están destinados a ser descargados no es tan sospechoso.
Mientras tanto, las bases de datos de intercambio de archivos tienden a recopilar mucha información realmente importante; de hecho, una víctima del ataque MOVEit Transfer admitió que la filtración contenía los datos de 45000 estudiantes universitarios y escolares.
Para los equipos de seguridad esto supone que las aplicaciones como estas y su configuración requieran una atención especial: los pasos a seguir incluyen limitar el acceso administrativo y tomar medidas de seguridad adicionales con respecto a la administración de la base de datos y la protección de la red. Las organizaciones deben promover la ciberhigiene entre los empleados enseñándoles a eliminar los archivos del sistema de intercambio tan pronto como dejen de necesitarlos y compartirlos con un mínimo de usuarios.
Centrarse en los servidores
Para los ciberatacantes que buscan el robo de datos, los servidores son un objetivo fácil, ya que no están monitorizados muy de cerca y contienen una gran cantidad de datos. Como era de esperar, además de explotar masivamente aplicaciones populares del lado del servidor con ataques como ProxyShell o ProxyNotShell, los ciberdelincuentes toman caminos menos transitados al dominar el cifrado de granjas ESXi y las bases de datos Oracle, o probar servicios como MOVEit Transfer, que son populares en el mundo corporativo pero menos conocidos por el público en general. Esta es la razón por la que los equipos de seguridad deben centrarse en los servidores:
- priorizando la aplicación de parches al servidor;
- usando una solución EDR;
- limitando el acceso con privilegios;
- protegiendo los contenedores, máquinas virtuales, et
Si una aplicación parece tener pocas vulnerabilidades, significa que nadie las ha buscado
La cuestión de las prioridades siempre surge cuando una organización saca el tema de los parches. Las vulnerabilidades se cuentan por cientos y son imposibles de corregir en todas partes y todas a la vez, en todas las aplicaciones y en todos los ordenadores. Por tanto, los administradores del sistema deben concentrarse en las vulnerabilidades más peligrosas o en las que están más extendidas debido a que afectan al software popular. La historia de MOVEit nos enseña que este panorama es dinámico: si te has pasado el último año reparando errores en Exchange u otros productos de Microsoft, no significa que debas concentrarte principalmente en ellos. Es fundamental seguir las tendencias Threat Intelligence y no solo eliminar nuevas amenazas específicas, sino también predecir su posible impacto en tu organización.