Zero-day, SQL Injection sfruttato attivamente nel Software MoVEit

Una vulnerabilità di sicurezza con gravità critica (SQL Injection non ancora classificata) nel software MOVEit Transfer di Progress, qualora sfruttata, potrebbe consentire a un utente malintenzionato remoto l’escalation dei privilegi e l’accesso non autorizzato sui sistemi target.

È stata rilevata una vulnerabilità SQL injection nell’applicazione Web MOVEit Transfer che potrebbe consentire a un utente malintenzionato non autenticato di ottenere l’accesso non autorizzato al database di MOVEit Transfer. A seconda del motore di database utilizzato (MySQL, Microsoft SQL Server o Azure SQL), un utente malintenzionato potrebbe essere in grado di dedurre informazioni sulla struttura e sul contenuto del database oltre a eseguire istruzioni SQL che alterano o eliminano gli elementi del database” si legge nel bollettino di sicurezza.

MoVEit

MoVEit è una applicazione Web di trasferimento di file e di automazione per azienda che garantisce l’affidabilità dei processi aziendali principali consentendo il trasferimento di dati sensibili tra partner, clienti e sistemi in modo sicuro e conforme.

Misure di mitigazione

Secondo le dichiarazioni della stessa Progress, si raccomanda di seguire le mitigazioni proposte seguendo le indicazioni del bollettino di sicurezza e applicando le patch quanto prima.

Tutte le versioni del prodotto sarebbero coinvolte:

  • 2023.0.0, versioni precedenti alla 2023.0.1
  • 2022.1.x, versioni precedenti alla 2022.1.5
  • 2022.0.x, versioni precedenti alla 2022.0.4
  • 2021.1.x, versioni precedenti alla 2021.1.4
  • 2021.0.x, versioni precedenti alla 2021.0.6

Best practice

In generale per ridurre i rischi da accessi non autorizzati, ai propri clienti Progress consiglia inoltre di aggiornare le regole firewall e i criteri di accesso remoto, consentire l’accesso in entrata solo ad entità attendibili e abilitare l’autenticazione MFA.

Su Salvatore Lombardo 241 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.