Detección de CVE-2024-5806: Una Nueva Vulnerabilidad de Evitación de Autenticación en Progress MOVEit Transfer Bajo Explotación Activa
Tabla de contenidos:
El panorama de amenazas cibernéticas en junio se está calentando, en gran medida debido a la divulgación de nuevas vulnerabilidades, como CVE-2024-4577 y CVE-2024-29849. Los investigadores han identificado una nueva vulnerabilidad crítica de autenticación incorrecta en Progress MOVEit Transfer, rastreada como CVE-2024-5806, que ya ha estado bajo explotación activa en la naturaleza unas horas después de su descubrimiento.
Detectar intentos de explotación de CVE-2024-5806
Dado que MOVEit sigue siendo un objetivo atractivo para los ciberdelincuentes después de los incidentes del año pasado, el potencial de acceso a archivos internos de empresas a gran escala es altamente atractivo para los adversarios. La nueva vulnerabilidad en Progress MOVEit Transfer rastreada como CVE-2024-5806 podría llevar a una omisión de autenticación, lo que representa un desafío creciente para los defensores debido a su explotación en ataques activos poco después de la divulgación de la falla. Los adversarios pueden intentar aprovechar CVE-2024-5806 para obtener acceso inicial. La plataforma SOC Prime para la defensa cibernética colectiva ha lanzado una nueva regla Sigma para detectar posibles intentos de explotación de CVE-2024-5806. Inicie sesión en la plataforma SOC Prime para acceder instantáneamente al algoritmo de detección dedicado disponible a través de un enlace a continuación:
Esta regla Sigma está alineada con el marco MITRE ATT&CK ®, abordando la táctica de Acceso Inicial y la técnica de Explotación de Aplicaciones Públicas (T1190). Dependiendo de su pila tecnológica, la detección está lista para desplegarse en docenas de tecnologías SIEM, EDR y Data Lake.
Para mantenerse al tanto del panorama de amenazas en constante evolución e identificar oportunamente intrusiones que explotan vulnerabilidades críticas y zero-days, haga clic en el botón Explorar detecciones para aprovechar la colección integral de contenido relevante de SOC.
Análisis de CVE-2024-5806
El zero-day angustiante del año pasado CVE-2023-34362 en Progress MOVEit Transfer causó revuelo en el ámbito de la ciberseguridad, planteando serios riesgos de filtración de datos sensibles incluso para organizaciones de alto perfil.
El equipo de watchTowr descubrió recientemente una nueva vulnerabilidad, CVE-2024-5806, identificada en el software de Progress MOVEit Transfer. La falla, encontrada en el módulo SFTP del producto, permite a los atacantes omitir la autenticación y obtener acceso no autorizado a información sensible. La vulnerabilidad afecta a las instancias de MOVEit Transfer desde 2023.0.0 antes de 2023.0.11, desde 2023.1.0 antes de 2023.1.6, y desde 2024.0.0 antes de 2024.0.2.
El código de explotación de CVE-2024-5806 se publicó públicamente solo unas horas después de que el proveedor emitiera un boletín de seguridad reconociendo la falla, lo que resultó en un aumento de los intentos de ataque en instalaciones vulnerables de MOVEit. Según las estadísticas de Shadowserver Foundation, se observaron al menos 1,800 instancias expuestas a la amenaza.
The Los investigadores de watchTowr identificaron dos escenarios de ataque potenciales. En el primero, un atacante podría ejecutar una «autenticación forzada» usando un servidor SMB malicioso y un nombre de usuario válido, facilitado por un método de ataque de diccionario. El otro revela un flujo de ataque más peligroso, dando a los adversarios luz verde para hacerse pasar por cualquier usuario en el sistema.
Como medidas de mitigación para CVE-2024-5806, el proveedor recomienda encarecidamente que todos los clientes de MOVEit Transfer que usen las versiones 2023.0, 2023.1 y 2024.0 actualicen rápidamente a la última versión parcheada.
Mientras que la detección proactiva de la explotación de vulnerabilidades sigue siendo una de las principales prioridades de contenido para las empresas que dependen de soluciones de software populares, los defensores buscan formas innovadoras de mejorar la resiliencia cibernética. La suite completa de productos de SOC Prime basada en inteligencia de amenazas global, crowdsourcing, confianza cero, y extendida mediante IA generativa, permite a las organizaciones anticiparse a los ataques cibernéticos emergentes y fortalecer las capacidades de defensa cibernética a gran escala.
