A distanza di circa un anno da quello che è stato definito il più grande hack del 2023, Progress Software ha pubblicato un bollettino di sicurezza per comunicare l’esistenza di una nuova grave vulnerabilità nel software MOVEIt Transfer. I cybercriminali hanno già iniziato a sfruttare il bug per colpire le istanze non aggiornate.
Installare subito gli aggiornamenti
MOVEit Transfer è uno dei tool più utilizzati dalle aziende per il trasferimento dei file tra partner e clienti, sfruttando vari protocolli (SFTP, SCP e HTTP). La nuova vulnerabilità, indicata con CVE-2024-5806, è presente nel modulo SFTP usato per trasferimento dei file tramite SSH.
L’exploit consente di aggirare l’autenticazione e ottenere l’accesso al server. I cybercriminali possono quindi caricare, scaricare, eliminare e modificare i file e intercettare i trasferimenti. Progress Software aveva assegnato inizialmente un livello di gravità alto (score 7.4). Successivamente il livello è diventato critico (score 9.1), in quanto la patch rilasciata non risolve un altro bug scoperto in un componente di terze parti.
I ricercatori dei watchTowr Labs hanno pubblicato una descrizione dettagliata della vulnerabilità che può essere sfruttata in due modi, uno dei quali prevede l’uso di una “null string” come chiave crittografica pubblica durante la procedura di autenticazione.
In base alle scansione effettuata da Censys, le istanze vulnerabili sono oltre 2.700, la maggioranza delle quali si trova negli Stati Uniti. Il bug è presente nelle versioni precedenti a 2023.0.11, 2023.1.6 e 2024.0.2. Le aziende devono installare gli aggiornamenti al più presto.
Come detto, le patch non risolvono la vulnerabilità di terze parti. In questo caso è necessario bloccare gli accessi RDP in entrata e limitare gli accessi in uscita agli endpoint sicuri.