La vulnerabilità di sicurezza con gravità critica di tipo SQL Injection nel software MoVEit Transfer di Progress, dopo un breve periodo seguito alla pubblicazione del bollettino di sicurezza del fornitore è stata di recente classificata CVE-2023-34362, inserita dal CISA nel suo Known Exploited Vulnerabilities Catalog e attribuita da Microsoft alla banda Lace Tempest nota per le campagne ransomware Clop.
Il difetto qualora sfruttato, potrebbe consentire a un utente malintenzionato remoto l’escalation dei privilegi e l’accesso non autorizzato sui sistemi target
MoVEit
MoVEit è una applicazione Web di trasferimento di file e di automazione per azienda che garantisce l’affidabilità dei processi aziendali principali consentendo il trasferimento di dati sensibili tra partner, clienti e sistemi in modo sicuro e conforme.
Prodotti e versioni coinvolti
Tutte le versioni del prodotto sarebbero coinvolte:
- 2023.0.0, versioni precedenti alla 2023.0.1
- 2022.1.x, versioni precedenti alla 2022.1.5
- 2022.0.x, versioni precedenti alla 2022.0.4
- 2021.1.x, versioni precedenti alla 2021.1.4
- 2021.0.x, versioni precedenti alla 2021.0.6
Lo sfruttamento in natura
Il team di Microsoft Threat Intelligence in una serie di tweet ha sottolineato come il gruppo Lace Tempest abbia già utilizzato vulnerabilità simili in passato per rubare dati da organizzazioni a livello globale a scopo estorsivo e che gli aggressori starebbero sfruttando la vulnerabilità per distribuire una web shell con capacità di esfiltrazione dei dati, autenticandosi come utenti con i privilegi elevati.
Queste evidenze sullo sfruttamento attivo si aggiungerebbero a quelle già fornite da altre società di sicurezza quali GreyNoise, Rapid7 e Huntress.
Applicare le patch
Microsoft come anche il vendor sollecita le organizzazioni potenzialmente interessate dalla falla CVE-2023-34362 ad applicare le patch di sicurezza ed eseguire le misure di mitigazione condivise dalla stessa Progress.