Negli ultimi giorni, i ricercatori hanno segnalato l’esistenza di nuove e gravi vulnerabilità nel software MOVEit Transfer, utilizzato da numerose organizzazioni per il trasferimento sicuro di file.
Le vulnerabilità CVE-2024-5805 e CVE-2024-5806 sono state recentemente aggiornate da Progress Software, che ha rilasciato le correzioni necessarie per mitigare questi rischi critici.
Indice degli argomenti
I dettagli sulle vulnerabilità
Le vulnerabilità sono state identificate nel modulo SFTP di MOVEit Transfer. CVE-2024-5806, in particolare, è stata descritta come una falla di autenticazione che può essere sfruttata per ottenere accesso non autorizzato ai sistemi vulnerabili.
Questo problema è stato risolto con il rilascio delle versioni MOVEit Transfer 2023.0.11, 2023.1.6 e 2024.0.2. Un’altra vulnerabilità, CVE-2024-5805, influisce solo sulla versione 2024.0.0 ed è stata corretta nella versione 2024.0.1.
Progress Software ha sottolineato che un componente di terze parti recentemente identificato aumenta il rischio associato a CVE-2024-5806. La società ha fornito delle misure di mitigazione temporanee per proteggere i sistemi fino alla disponibilità di una patch definitiva.
Sfruttamento e rischi associati alle vulnerabilità scoperte
La vulnerabilità CVE-2024-5806 ha attirato l’attenzione di WatchTowr, che ha pubblicato dettagli tecnici e dimostrato come la falla possa essere sfruttata per ottenere accesso non autorizzato ai sistemi MOVEit Transfer vulnerabili.
Inoltre, WatchTowr ha scoperto una seconda vulnerabilità che colpisce la libreria del server SSH IPWorks, utilizzata anch’essa da MOVEit Transfer. Questa vulnerabilità può permettere una compromissione completa del sistema.
La Shadowserver Foundation ha segnalato tentativi di sfruttamento di CVE-2024-5806 subito dopo la pubblicazione dei dettagli tecnici da parte di WatchTowr. Tuttavia, Rapid7 ha osservato che, sebbene Shadowserver registri i tentativi di hacking nelle sue piattaforme, tali attività non sempre corrispondono all’attività delle minacce negli ambienti di produzione reali.
Impatto globale
Secondo i rapporti di Shadowserver, sono presenti circa 1.700 istanze di MOVEit Transfer online, la maggior parte delle quali situate in Nord America. Dati di Censys indicano un numero ancora più alto, con circa 2.700 istanze globali, concentrate prevalentemente negli Stati Uniti, seguiti da Regno Unito e Germania.
Questo numero è paragonabile a quello delle vittime del precedente attacco informatico condotto dal gruppo Cl0p.
Ricordiamo, infine, che diventa cruciale che tutte le entità coinvolte aggiornino immediatamente le loro versioni di MOVEit Transfer alle ultime patch rilasciate e implementino le misure di mitigazione raccomandate da Progress Software.
