Advierte a los clientes de MOVEit Transfer que parcheen una nueva falla crítica

MOVEit Transfer, el software en el centro de la reciente ola masiva de violaciones de ransomware Clop, ha recibido una actualización que corrige un error de inyección SQL de gravedad crítica y otras dos vulnerabilidades menos graves.

Las vulnerabilidades de inyección SQL permiten a los atacantes crear consultas especiales para obtener acceso a una base de datos o manipularla mediante la ejecución de código. Para que estos ataques sean posibles, la aplicación de destino debe sufrir una falta de saneamiento de datos de entrada/salida adecuada.

Progress, el desarrollador de MOVEit Transfer, descubrió múltiples problemas de inyección SQL en su producto que incluyen uno crítico rastreado como CVE-2023-36934, que puede ser explotado sin autenticación de usuario.

"Se ha identificado una vulnerabilidad de inyección SQL en la aplicación web MOVEit Transfer que podría permitir a un atacante no autenticado obtener acceso no autorizado a la base de datos MOVEit Transfer", se lee en el boletín de seguridad de Progress.


La segunda falla de inyección SQL se identifica como CVE-2023-36932 y recibió una calificación de gravedad alta porque un atacante podría explotarla después de la autenticación.

Los dos problemas de seguridad de inyección SQL afectan a varias versiones de MOVEit Transfer, incluidas 12.1.10 y anteriores, 13.0.8 y anteriores, 13.1.6 y anteriores, 14.0.6 y anteriores, 14.1.7 y anteriores, y 15.0.3 y anteriores.

Una tercera vulnerabilidad tratada con este parche es CVE-2023-36933, un problema de alta gravedad que permite a los atacantes provocar la finalización inesperada del programa.

Esta falla afecta a las versiones 13.0.8 y anteriores de MOVEit Transfer, 13.1.6 y anteriores, 14.0.6 y anteriores, 14.1.7 y anteriores, y 15.0.3 y anteriores.

Se recomienda a los usuarios de MOVEit Transfer que actualicen a las versiones destacadas en la tabla siguiente, que abordan las vulnerabilidades mencionadas.


Progress adopta Service Packs de seguridad

Hace aproximadamente un mes, los piratas informáticos, especialmente la pandilla de ransomware Clop, explotaron masivamente una vulnerabilidad de día cero en el producto MOVEit Transfer, rastreado como CVE-2023-34362, para robar datos de grandes organizaciones en todo el mundo.

El proveedor de software corrigió la falla unos días después de su descubrimiento, pero se reveló que las correcciones llegaron aproximadamente dos años después de que comenzara la primera explotación en la naturaleza.

Progress lanzó una auditoría de seguridad poco después, lo que llevó a descubrir y parchear fallas adicionales de gravedad crítica.

Como la compañía de software estadounidense todavía lidia con las repercusiones masivas del incidente de seguridad, ha decidido introducir actualizaciones de seguridad regulares llamadas "Service Packs", lanzadas cada mes.

Como parte de este nuevo enfoque, el proceso de actualización de software se está simplificando, lo que permite a los administradores de MOVEit Transfer aplicar correcciones de manera más rápida y fácil que antes.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta