Una nuova grave vulnerabilità di sicurezza che colpisce Progress Software MOVEit Transfer è già oggetto di tentativi di sfruttamento poco dopo la divulgazione pubblica dei dettagli del bug.
I problemi scovati nella piattaforma MOVEit Transfer
La vulnerabilità, identificata come CVE-2024-5806 (punteggio CVSS: 9.1), riguarda un bypass dell’autenticazione che influisce sulle seguenti versioni:
- Dalla versione 2023.0.0 fino alla 2023.0.11
- Dalla versione 2023.1.0 fino alla 2023.1.6
- Dalla versione 2024.0.0 fino alla 2024.0.2
L’azienda ha dichiarato in un avviso pubblicato martedì che la vulnerabilità di autenticazione impropria in Progress MOVEit Transfer (modulo SFTP) può portare al bypass dell’autenticazione.
Progress ha anche risolto un’altra vulnerabilità critica associata all’autenticazione SFTP (CVE-2024-5805, punteggio CVSS: 9.1) che interessa la versione MOVEit Gateway 2024.0.0.
L’exploit riuscito di queste vulnerabilità potrebbe consentire agli attaccanti di eludere l’autenticazione SFTP e ottenere accesso ai sistemi MOVEit Transfer e Gateway.
Le analisi dei ricercatori di sicurezza informatica riguardo la piattaforma MOVEit Transfer
watchTowr Labs ha pubblicato ulteriori dettagli tecnici su CVE-2024-5806, con i ricercatori di sicurezza Aliz Hammond e Sina Kheirkhah che hanno notato la possibilità di impersonare qualsiasi utente sul server.
L’azienda di sicurezza informatica ha inoltre descritto la vulnerabilità come composta da due vulnerabilità separate, una in Progress MOVEit e un’altra nella libreria IPWorks SSH.
Progress Software ha affermato che il difetto nel componente di terze parti “aumenta il rischio dell’issue originale” se non corretto, invitando i clienti a seguire i seguenti due passaggi:
- Bloccare l’accesso RDP pubblico in ingresso ai server di MOVEit Transfer.
- Limitare l’accesso in uscita solo agli endpoint conosciuti e attendibili dai server di MOVEit Transfer.
Secondo Rapid7, ci sono tre prerequisiti per sfruttare CVE-2024-5806: gli attaccanti devono conoscere un nome utente esistente, l’account di destinazione deve essere autenticabile in remoto, e il servizio SFTP deve essere accessibile pubblicamente su Internet; per farla breve dev’essere un dominio messo in chiaro, affinché sia accessibile e conoscere il nome dell’utente (o username).
La raccolta di dati e varie segnalazioni sulla piattaforma MOVEit Transfer
Al 25 giugno, i dati raccolti da Censys mostrano che ci sono circa 2.700 istanze di MOVEit Transfer online, la maggior parte delle quali si trovano negli Stati Uniti, nel Regno Unito, in Germania, nei Paesi Bassi, in Canada, in Svizzera, in Australia, in Francia, in Irlanda e in Danimarca.
Con un’altra problematica critica in MOVEit Transfer ampiamente sfruttata in una serie di attacchi ransomware Cl0p lo scorso anno (CVE-2023-34362, punteggio CVSS: 9.8), è essenziale che gli utenti procedano rapidamente con l’aggiornamento alle versioni più recenti.
Sviluppo sulla falla di sicurezza della nota piattaforma di trasnfer
Lo sviluppo arriva mentre l’Agenzia per la Sicurezza Informatica e Infrastrutture degli Stati Uniti (CISA) ha rivelato che il suo strumento di valutazione della sicurezza chimica (CSAT) è stato preso di mira all’inizio di gennaio da un non ben identificato criminale informatico (o un gruppo di criminali informatici) sfruttando vulnerabilità di sicurezza nell’appliance Ivanti Connect Secure (ICS) (CVE-2023-46805, CVE-2024-21887 e CVE-2024-21893).
“L’intrusione potrebbe aver comportato l’accesso non autorizzato potenziale a indagini Top-Screen, valutazioni delle vulnerabilità di sicurezza, piani di sicurezza del sito, presentazioni del programma di sicurezza del personale (PSP) e account utente CSAT“, ha dichiarato l’agenzia, aggiungendo che non sono stati trovati indizi di esfiltrazione di dati sensibili.
Conclusione
Concludendo si può dire che la falla su MOVEit Transfer anche se (a detta della CISA), non ha portato a fughe di dati sensibili degli utenti, va comunque ribadito che non bisogna fidarsi comunque, perché anche le agenzie per quanto “forti” non sono perfette e potrebbe esserci bisogno di un passo in più per la tutela dei propri dati.
In un mondo in cui anche le grosse aziende possono essere bucate dal punto di vista informatica tocca all’utente fare il primo passo per difendersi.
