{"id":26526,"date":"2023-07-15T23:25:26","date_gmt":"2023-07-16T05:25:26","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=26526"},"modified":"2023-07-16T23:26:32","modified_gmt":"2023-07-17T05:26:32","slug":"moveit-transfer-attack-protection","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/moveit-transfer-attack-protection\/26526\/","title":{"rendered":"El ataque a MOVEit y sus consecuencias"},"content":{"rendered":"

Independientemente de que conozcas o no la aplicaci\u00f3n de intercambio de archivos corporativos MOVEit Transfer, merece la pena analizar c\u00f3mo se desarroll\u00f3 el ataque, aunque solo sea por la magnitud del caso: cientos de organizaciones se vieron afectadas, incluidas, entre muchas otras, Shell, el Departamento de Educaci\u00f3n del Estado de Nueva York, la BBC<\/a>, Boots, Aer Lingus, British Airways, varios proveedores del sector sanitario con proyecci\u00f3n internacional, la Universidad de Georgia y Heidelberger Druck. Algo que resulta triste e ir\u00f3nico a la vez es que los creados de MOVEit Transfer<\/a>, Ipswitch (ahora parte de una empresa llamada Progress), promocionan la herramienta como un \u201cSoftware de transferencia segura de archivos administrados para empresas\u201d. En concreto se trata de un sistema de transferencia gestionada de archivos (MFT) que ayuda a los empleados a compartir archivos pesados con sus contratistas a trav\u00e9s de SFTP, SCP y HTTP, ofreci\u00e9ndose como una soluci\u00f3n en la nube u on-premise.<\/p>\n

Esta serie de incidentes debe servir de ejemplo para todos aquellos a cargo de la seguridad de la informaci\u00f3n en cualquier organizaci\u00f3n.<\/p>\n

C\u00f3mo se desarroll\u00f3 el ataque<\/h2>\n

No profundizaremos en los detalles del tormentoso mes y medio en el que se han visto envueltos los usuarios de MOVEit, pero s\u00ed nos centraremos en los aspectos m\u00e1s importantes.<\/p>\n

El 27 de mayo del 2023 comenzaron a aparecer los primeros reportes de actividad sospechosa en las redes de muchas organizaciones usuarias de MOVEit Transfer. De acuerdo con una investigaci\u00f3n, los actores maliciosos se estaban aprovechando de una vulnerabilidad desconocida para robar datos ejecutando solicitudes SQL.<\/p>\n

El 31 de mayo, Progress public\u00f3 su primer bolet\u00edn de seguridad<\/a>, en el que resum\u00eda las medidas que hab\u00edan tomado hasta la fecha, adem\u00e1s de una serie de recomendaciones para evitar el ataque. En principio la empresa pensaba que el problema estaba limitado a las instalaciones on-premise, pero m\u00e1s tarde descubri\u00f3 que la versi\u00f3n en la nube tambi\u00e9n se hab\u00eda visto afectada<\/a>. MOVEit Cloud qued\u00f3 temporalmente bloqueada<\/a> para poder investigarla y parchearla adecuadamente. Los investigadores de Rapid7 identificaron<\/a> un total de 2500 servidores on-premise vulnerables.<\/p>\n

El 2 de junio, se asign\u00f3 el identificador CVE-2023-34362<\/a> a la vulnerabilidad y una escala CVSS de 9,8 (sobre 10). Los investigadores del incidente atribuyeron<\/a> la amenaza al grupo de ransomware cl0p. Por otro lado, los investigadores de Kroll reportaron el 9 de junio que el exploit de MOVEit podr\u00eda haber estado en pruebas desde el 2021.<\/a> Adem\u00e1s, los investigadores demostraron que la cadena de ciberataques no habr\u00eda acabado en una inyecci\u00f3n SQL y que podr\u00eda incluir la ejecuci\u00f3n de c\u00f3digo.<\/p>\n

Progress fue m\u00e1s all\u00e1 de \u00fanicamente parchear el software. La compa\u00f1\u00eda inici\u00f3 una auditoria de c\u00f3digo, permitiendo que la empresa Huntress reprodujera la cadena de exploit al completo y descubriera otra vulnerabilidad, la CVE-2023-35036<\/a>, que se solucionar\u00eda el 9 de junio como anunciaron en el pr\u00f3ximo bolet\u00edn<\/a>. Pero antes de que muchos administradores tuvieran tiempo de instalar el parche, Progress descubri\u00f3 otro problema, la CVE-2023-35708<\/a>, que anunci\u00f3 en su bolet\u00edn del 15 de junio<\/a>. MOVEit Cloud tuvo que bloquearse de nuevo durante 10 horas<\/a> para poder aplicar todas las soluciones.<\/p>\n

El 15 de junio tambi\u00e9n fue un d\u00eda relevante dado que los ciberdelincuentes publicaron informaci\u00f3n de algunas de las v\u00edctimas y comenzaron las negociaciones de rescate<\/a>. Dos d\u00edas despu\u00e9s, el gobierno de Estados Unidos prometi\u00f3 una recompensa de hasta 10 millones de d\u00f3lares<\/a> a cambio de informaci\u00f3n sobre el grupo.<\/p>\n

El 26 de junio, Progress anunci\u00f3 que bloquear\u00eda MOVEit Cloud durante 3 horas el 2 de julio para fortalecer la seguridad del servidor.<\/p>\n

El 6 de julio los desarrolladores publicaron otra actualizaci\u00f3n que pon\u00eda soluci\u00f3n a 3 vulnerabilidades m\u00e1s, una de ellas cr\u00edtica (CVE-2023-36934<\/a>,\u00a0CVE-2023-36932<\/a> y\u00a0CVE-2023-36933<\/a>).<\/p>\n

Los servicios de intercambio de archivos como un c\u00f3modo vector de ataque<\/h2>\n

El ataque a MOVEit Transfer de mayo no es el primero de su tipo. En enero se lanzaron una serie de ataques similares dirigidos al GoAnywhere MFT de Fortra<\/a> y a finales del 2020 hubo una explotaci\u00f3n masiva de una vulnerabilidad en Accellion FTA<\/a>.<\/p>\n

Muchos ataques tienen como objetivo el acceso privilegiado a los servidores o la ejecuci\u00f3n de c\u00f3digo arbitrario, lo que tambi\u00e9n sucedi\u00f3 en este caso, pero a menudo el objetivo de los ciberdelincuentes ha sido la ejecuci\u00f3n de un ataque r\u00e1pido y de bajo riesgo para obtener acceso a las bases de datos de un servicio de intercambio de archivos. Esto les ayuda a hacerse con los archivos sin necesidad de penetrar en el sistema para no permanecer demasiado tiempo bajo el radar. Despu\u00e9s de todo, descargar archivos que est\u00e1n destinados a ser descargados no es tan sospechoso.<\/p>\n

Mientras tanto, las bases de datos de intercambio de archivos tienden a recopilar mucha informaci\u00f3n realmente importante; de hecho, una v\u00edctima del ataque MOVEit Transfer admiti\u00f3 que la filtraci\u00f3n conten\u00eda los datos de 45000 estudiantes universitarios y escolares.<\/a><\/p>\n

Para los equipos de seguridad esto supone que las aplicaciones como estas y su configuraci\u00f3n requieran una atenci\u00f3n especial: los pasos a seguir incluyen limitar el acceso administrativo y tomar medidas de seguridad adicionales con respecto a la administraci\u00f3n de la base de datos y la protecci\u00f3n de la red. Las organizaciones deben promover la ciberhigiene entre los empleados ense\u00f1\u00e1ndoles a eliminar los archivos del sistema de intercambio tan pronto como dejen de necesitarlos y compartirlos con un m\u00ednimo de usuarios.<\/p>\n

Centrarse en los servidores<\/h2>\n

Para los ciberatacantes que buscan el robo de datos, los servidores son un objetivo f\u00e1cil, ya que no est\u00e1n monitorizados muy de cerca y contienen una gran cantidad de datos. Como era de esperar, adem\u00e1s de explotar masivamente aplicaciones populares del lado del servidor con ataques como ProxyShell o ProxyNotShell<\/a>, los ciberdelincuentes toman caminos menos transitados al dominar el cifrado de granjas ESXi<\/a> y las bases de datos Oracle<\/a>, o probar servicios como MOVEit Transfer, que son populares en el mundo corporativo pero menos conocidos por el p\u00fablico en general. Esta es la raz\u00f3n por la que los equipos de seguridad deben centrarse en los servidores:<\/p>\n