MOVEit

Introducción

El incidente de seguridad que afectó a la empresa Progress Software, concretamente a su herramienta MOVEit Transfer, ejemplifica el alcance global que puede tener la explotación de una vulnerabilidad de día cero (zero-day). La herramienta afectada por la vulnerabilidad, conocida como MOVEit, emplea protocolos como FTP(S) y SFTP para transportar datos cifrados. Con capacidad para manejar grandes volúmenes de información, es utilizada de manera habitual en infraestructura crítica como finanzas, sanidad y administración pública para la transmisión de datos sensibles.

El ataque

El ataque dirigido al software MOVEit destacó por la naturaleza crítica de esta plataforma. En las fases iniciales del ataque, esta campaña llegó a afectar a 255 empresas, entre las que se encontraban la BBC, British Airways, la Universidad de Georgia, entre muchas otras. En agosto de ese mismo año la cifra de empresas afectadas superó las 1000.

27 de mayo de 2023: el grupo de ransomware CL0P lanzó una serie de ataques dirigidos contra esta solución de transferencia de archivos gestionada (MFT por sus siglas en inglés). Los atacantes explotaron una vulnerabilidad de día cero de inyección SQL, identificada como CVE-2023-34362 con una criticidad CVSS de 9.8 sobre 10.0. Valiéndose de esta vulnerabilidad, los atacantes desplegaron un shell web llamado Lemurloot, que les facilitó la extracción de información directamente desde las bases de datos subyacentes de MOVEit Transfer.

A raíz de esta vulnerabilidad de seguridad, los atacantes lograron comprometer las aplicaciones web de MOVEit Transfer expuestas en internet. Al momento del incidente, la herramienta de análisis Shodan identificó más de 2.500 servidores web operando con MOVEit, lo que evidencia la magnitud de la exposición.

Lemurloot fue empleado para mantener persistencia, recolectar información y sustraer datos. Este shell web interactuaba con el software MOVEit utilizando bibliotecas específicas y simulaba ser un archivo legítimo del sistema. Al instalarse, generaba una contraseña aleatoria de 36 caracteres para autenticar solicitudes HTTP mediante un encabezado especial. Una vez autenticados, los atacantes podían ejecutar comandos de manera remota.

31 de mayo de 2023: Progress Software alertó a sus clientes sobre la vulnerabilidad de día cero, sobre el software MOVEit Transfer y MOVEit Cloud. Todas las versiones del software se vieron afectadas por esta brecha de seguridad, por lo que la empresa publicó junto con un parche de actualización, una serie de recomendaciones para prevenir la explotación de la vulnerabilidad.
Inicialmente, la empresa creía que el problema solo afectaba a las instalaciones on-premise, pero luego descubrió que la versión en la nube también había sido impactada. MOVEit Cloud fue temporalmente suspendida.

4 de junio de 2023: Microsoft vincula el ataque de MOVEit con CL0P (al que llama “Lace Tempest”), mencionando que el actor de amenazas habría conseguido dejar más de 60 hosts expuestos en internet, propiedad de los gobiernos federales y estatales de Estados Unidos.

15 de junio de 2023: A raíz del ataque, durante una auditoría interna, la empresa Huntress logró replicar toda la cadena de explotación y detectó otra vulnerabilidad, categorizada como CVE-2023-35036, rápidamente parcheada. El gobierno de los Estados Unidos, por su parte, ofreció una recompensa de 10 millones de dólares a cambio de información clave sobre el grupo OCG.

12 de noviembre de 2024: Un año y medio después del incidente, la herramienta MOVEit ha vuelto a ser tendencia tras una filtración en un foro de la dark web atribuida al actor Nam3L3ss. Entre las empresas afectadas destaca Amazon, que ha confirmado la publicación de más de 2,8 millones de registros de datos de sus empleados. También figuran HP, McDonald’s, Lenovo, entre otras compañías.

Aunque no se ha establecido una conexión directa entre este grupo y el grupo CL0P, Nam3L3ss declaró en un post que la filtración no tiene un propósito lucrativo, sino que busca responsabilizar a las empresas. Se sospecha que la información recientemente expuesta podría provenir del ataque realizado en 2023.

Resulta irónico que la herramienta MOVEit, promocionada como el ‘software de transferencia segura de archivos administrados para empresas’, terminara siendo blanco de una vulnerabilidad tan crítica.

Este ataque es una demostración del dominio del grupo de ransomware CL0P en la explotación de vulnerabilidades de día cero. Han llevado a cabo ataques similares contra GoAnywhere, SolarWinds y Accellion, siempre con el objetivo de robar datos y extorsionar a sus víctimas. Se estima que el grupo obtuvo con este ataque, un beneficio aproximado de 100 millones de dólares.