Detección de CVE-2023-34362: Falla Zero-Day Crítica en MOVEit Transfer Explotada Activamente por Actores Maliciosos para Robar Datos de Organizaciones
Tabla de contenidos:
Detrás de la falla de máxima severidad en el software de GitLab conocida como CVE-2023-2825, surge otra vulnerabilidad crítica en la escena, creando un gran revuelo en el panorama de amenazas cibernéticas. A principios de junio de 2023, Progress Software descubrió una vulnerabilidad crítica en MOVEit Transfer que puede llevar a una escalada de privilegios e inmediatamente emitió un aviso de seguridad que cubría medidas de mitigación y actividades de remediación. En respuesta a los riesgos elevados de explotación de vulnerabilidades, CISA ha lanzado recientemente la alerta correspondiente instando a las organizaciones a tener cuidado con la amenaza y optimizar la postura de ciberseguridad en función del riesgo.
Actualizado: Desde el 2 de junio del 2023, la falla de MOVEit Transfer ha sido rastreada como CVE-2023-34362 y añadida al Catálogo de Vulnerabilidades Explotadas Conocidas del CISA sin que aún se haya proporcionado la puntuación CVSS.
Detectando Explotaciones para un Día Cero de CVE-2023-34362 en la Aplicación MOVEit Transfer
Nueva semana, nuevo día cero que supone una amenaza significativa para los defensores cibernéticos. Para prevenir que las explotaciones de día cero de MOVEit Transfer causen daños significativos a su sistema, utilice el siguiente conjunto de reglas Sigma publicado por un equipo de ingenieros de caza de amenazas entusiastas de SOC Prime:
Indicador de Posible Explotación de MOVEit Transfer [0Day MOVEit Transfer] (vía file_event)
Intento de Posible Explotación de MOVEit Transfer [0Day MOVEit Transfer] (vía process_creation)
Intento de Posible Explotación de MOVEit Transfer [0Day MOVEit Transfer] (vía servidor web)
Además, para simplificar la búsqueda de contenido, los profesionales de la ciberseguridad pueden aplicar una etiqueta «MOVEit» y explorar todas las detecciones relevantes ya sea en el Motor de Búsqueda de Reglas Sigma de SOC Prime o dentro del Mercado de Detección de Amenazas en sí.
Todos los algoritmos de detección para CVE-2023-34362 son compatibles con más de 25 formatos de SIEM, EDR, XDR, y BDP y están alineados con el marco MITRE ATT&CK v12, abordando las Tácticas de Acceso Inicial y Evasión de Defensas con la técnica de Explotación de Aplicaciones con Exposición Pública (T1190) y Suplantación (T1036) respectivamente.
Al hacer clic en el botón Explorar Detecciones , las organizaciones pueden obtener acceso instantáneo a aún más algoritmos de detección destinados a ayudar a identificar el comportamiento malicioso vinculado a la explotación de vulnerabilidades en tendencia.
Análisis de la Vulnerabilidad Crítica de MOVEit Transfer
En el último día de mayo de 2023, Progress Software publicó un aviso de seguridad para arrojar luz sobre la vulnerabilidad recién revelada de MOVEit Transfer rastreada como CVE-2023-34362, que permite a los adversarios obtener acceso no autorizado a sistemas comprometidos y conduce a ataques de robo de datos.
Para advertir instantáneamente a los defensores cibernéticos sobre los crecientes riesgos relacionados con los intentos de explotación de vulnerabilidades de MOVEit Transfer, Progress Software ha proporcionado los detalles de esta falla de inyección SQL . Según el aviso del proveedor, todas las versiones del software podrían estar afectadas por la vulnerabilidad, lo que requiere una respuesta inmediata de los defensores cibernéticos.
Para identificar oportunamente la infección en el entorno corporativo en caso de una explotación de vulnerabilidad exitosa, CISA sugiere a las organizaciones seguir las recomendaciones de mitigación emitidas por Progress Software, que implican deshabilitar todo el tráfico HTTP/HTTPS hacia el entorno potencialmente comprometido, eliminar archivos no autorizados y restablecer credenciales de usuario, aplicar parches instantáneamente, monitorear constantemente la infraestructura para detectar amenazas potenciales, y seguir las mejores prácticas de la industria para mejorar la higiene cibernética. HTTP/ HTTPs traffic to the potentially compromised environment, removing unauthorized files and resetting user credentials, instantly applying the patches, constantly monitoring the infrastructure for potential threats, and following the industry best practices to boost cyber hygiene.
GreyNoise ha revelado la actividad de escaneo para la página de inicio de sesión de MOVEit Transfer, que data de principios de marzo de 2023. Al analizar la actividad identificada, los investigadores de ciberseguridad descubrieron que cinco IPs podrían considerarse maliciosas, lo que apunta a la actividad adversaria anterior potencialmente vinculada a los intentos de explotación de la vulnerabilidad.
Basado en el hilo de Redditcentrado en exploits, los atacantes aprovechan una puerta trasera denominada human2.aspx, que les permite obtener la lista completa de carpetas, archivos y usuarios dentro del entorno MOVEit afectado, descargar cualquier archivo del sistema objetivo, y permitir a los atacantes realizar actividades de omisión de credenciales para robar datos sensibles y propagar aún más la infección.
Para buscar instantáneamente IOC relevantes, explore Uncoder AI que permite a los ingenieros de seguridad convertir automáticamente indicadores de compromiso de archivos, hosts o redes en consultas de IOC personalizadas listas para ejecutarse en el entorno SIEM o EDR seleccionado. Y eso no es todo: la herramienta actúa como una solución definitiva para cualquier ingeniero de detección y cazador de amenazas para agilizar las operaciones diarias ad-hoc, como investigación de amenazas, codificación de reglas respaldadas por autocompletado, validación, traducción de contenidos y más desde un solo lugar.
