CVE-2023-34362: Inyección SQL en MOVEit Transfer de Progress Sotfware
El pasado 31 de mayo de 2023 la empresa Progress informó acerca de una vulnerabilidad crítica (CVE-2023-34362) descubierta en su software MOVEit Transfer que podría permitir a un atacante escalar privilegios y realizar accesos no autorizados en los sistemas afectados por medio de una inyección SQL (SQLi) en la aplicación web MOVEit Transfer.
MOVEit Transfer es un software desarrollado por Progress Software que proporciona colaboración segura y transferencias de archivos automatizadas para datos confidenciales, utilizado globalmente por miles de organizaciones.
En función del motor de base de datos utilizado, como MySQL, Microsoft SQL Server o Azure SQL, existe la posibilidad de que un atacante pueda obtener información sobre la estructura y el contenido de la base de datos, e incluso ejecutar sentencias SQL para realizar modificaciones o eliminar elementos en ella. Es importante tener en cuenta que estos ataques pueden llevarse a cabo a través de protocolos como HTTP o HTTPS.
Se ha detectado que la vulnerabilidad está siendo explotada desde finales del pasado mes de mayo de 2023. Los atacantes están utilizando una puerta trasera denominada «human2.aspx». Varios investigadores, incluyendo a TrustedSec, han analizado esta puerta trasera y han llegado a la conclusión de que proporciona las siguientes funcionalidades:
- Obtener una lista de todas las carpetas, archivos y usuarios dentro de MOVEit.
- Descargar cualquier archivo dentro de MOVEit.
- Insertar un usuario administrador como puerta trasera en MOVEit, con el nombre de Health Check Service.
Recientemente, Microsoft Threat Intelligence asoció los ataques que explotaban esta vulnerabilidad al grupo “Lace Tempest”. Este grupo es conocido por llevar a cabo operaciones de ransomware y por gestionar el sitio de extorsión llamado Cl0p.
Características principales
A continuación, se detallan las características principales de esta vulnerabilidad.
- Identificador CVE: CVE-2023-34362.
- Fecha de publicación: 31/05/2023.
- Software Afectado: MOVEit Transfer.
- Versiones afectadas:
- Anteriores a 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5), and 2023.0.1 (15.0.1).
Mitigación de la vulnerabilidad CVE-2023-34362
El fabricante ha publicado un comunicado oficial donde recomienda seguir los siguientes pasos para mitigar la vulnerabilidad CVE-2023-34362:
1. Deshabilitar todo el tráfico HTTP y HTTPS del entorno de MOVEit Transfer.
2. Eliminar archivos y cuentas de usuarios no autorizadas, así como restablecer las credenciales de las cuentas de servicio.
3. Aplicar los parches de seguridad:
Versión afectada | Versión corregida | Documentación |
MOVEit Transfer 2023.0.0 (15.0) | MOVEit Transfer 2023.0.1 | MOVEit 2023 Upgrade Documentation |
MOVEit Transfer 2022.1.x (14.1) | MOVEit Transfer 2022.1.5 | MOVEit 2022 Upgrade Documentation |
MOVEit Transfer 2022.0.x (14.0) | MOVEit Transfer 2022.0.4 | MOVEit 2022 Upgrade Documentation |
MOVEit Transfer 2021.1.x (13.1) | MOVEit Transfer 2021.1.4 | MOVEit 2021 Upgrade Documentation |
MOVEit Transfer 2021.0.x (13.0) | MOVEit Transfer 2021.0.6 | MOVEit 2021 Upgrade Documentation |
MOVEit Transfer 2020.1.x (12.1) | Parche especial disponible | Ver KB 000234559 |
MOVEit Transfer 2020.0.x (12.0) or older | DEBE actualizarse a una versión compatible | Ver MOVEit Transfer Upgrade and Migration Guide |
MOVEit Cloud | Prod: 14.1.4.94 or 14.0.3.42 Test: 15.0.1.37 |
Todos los sistemas MOVEit Cloud están totalmente parcheados en este momento. Cloud Status Page |
4. Verificar que los archivos y las cuentas no autorizadas se han eliminado.
5. Habilitar nuevamente el tráfico HTTP y HTTPS.
6. Aplicar monitorización continua en la red, endpoints y logs en busca de IoC (Indicadores de Compromiso). El comunicado oficial del fabricante dispone de un listado de IoC para su comprobación.
Detección de la vulnerabilidad
Diversas fuentes como Unit42 de Palo Alto Networks y TrustedSec han publicado indicadores para la detección de un compromiso mediante esta vulnerabilidad:
- Inspeccionar los directorios “C:\MOVEitTransfer\wwwroot” y “D:\MOVEitDMZ\wwwroot” para localizar ficheros sospechosos recientes. Prestar especial atención a archivos como “human2.aspx” o “App_Web_[RANDOM].dll” creados en un rango de tiempo similar.
- Revisar posibles DLL precompiladas en “C:\Windows\Temp\”, como por ejemplo “erymbsqv\erymbsqv.dll”.
- Revisar los registros de MOVEit o del firewall en busca de transferencias de red salientes de gran tamaño desde el entorno de MOVEit.
- Examinar la base de datos de usuarios de MOVEit en busca de un usuario llamado «Health Check Service».
- Analizar las sesiones activas en la base de datos de MOVEit para el usuario «Health Check Service» (se ha de tener en cuenta que la puerta trasera descubierta puede alterar la hora de inicio de sesión más reciente, lo que la convierte en un campo no confiable para su inspección)
- Buscar tráfico web que contenga alguna de las cabeceras de petición o respuesta siguientes: “X-siLock-Comment”, “X-siLock-Step1”, “X-siLock-Step2” o “X-siLock-Step3”.
- Florian Ross ha desarrollado una regla YARA que permite detectar puertas traseras de webshells conocidas en ASPX que suelen utilizarse en este ataque.
- Examinar el firewall y los registros de IIS de MOVEit en busca de solicitudes que hayan sido originadas desde cualquiera de las direcciones IP mencionadas en los IoC proporcionados por el fabricante.
Como parte de su servicio de vulnerabilidades emergentes, Tarlogic monitoriza de forma proactiva el perímetro de sus clientes para informar, detectar y notificar urgentemente la presencia de esta vulnerabilidad, así como otras amenazas críticas que podrían causar un grave impacto sobre la seguridad de sus activos.