Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a MOVEit Transfer, que permitiría a un atacante realizar ataques del tipo inyección SQL (SQLi), escalamiento de privilegios y obtener acceso no autorizado al entorno afectado.
La vulnerabilidad identificada como CVE-2023-35708, de severidad “Crítica” y sin puntuación asignada aún. Esta vulnerabilidad del tipo inyección SQL (SQLi) se debe a una falla de validación de entradas del usuario en MOVEit Transfer. Esto permitiría a un atacante a través del envío de una carga útil especialmente diseñada a un Endpoint de la aplicación de MOVEit Transfer, obtener acceso no autorizado a la base de datos, realizar escalamiento de privilegios, modificación y divulgación del contenido de la base de datos del entorno afectado.
Las versiones afectadas son:
- MOVEit Transfer 2023.0.x (15.0.x)
- MOVEit Transfer 2022.1.x (14.1.x)
- MOVEit Transfer 2022.0.x (14.0.x)
- MOVEit Transfer 2021.1.x (13.1.x)
- MOVEit Transfer 2021.0.x (13.0.x)
- MOVEit Transfer 2020.1.x (12.1)
- MOVEit Transfer 2020.0.x (12.0) y anteriores
- MOVEit Cloud
Si bien aún no se encuentran disponibles las actualizaciones, MOVEit Transfer ha lanzado archivos DDL como medida de mitigación para las versiones afectadas:
- MOVEit Transfer 2023.0.3
- MOVEit Transfer 2022.1.7 (14.1.7)
- MOVEit Transfer 2022.0.6 (14.0.6)
- MOVEit Transfer 2021.1.6 (13.1.6)
- MOVEit Transfer 2021.0.8 (13.0.8)
- MOVEit Transfer 2020.1.10 (12.1.10)
- Para las versiones MOVEit Transfer 2020.0.x (12.0) y anteriores se debe consultar la Guía de actualización y migración de MOVEit Transfer
Nota: Se debe leer el archivo README.txt antes de intentar la instalación directa de las DLL y no se debe dejar versiones antiguas de estos archivos DLL en el sistema. Se recomienda eliminarlas por completo, no solo cambiar de nombre.
Adicionalmente, se debe tener en cuenta los siguientes pasos:
- Desactivar todo el tráfico HTTP y HTTPs del entorno de MOVEit Transfer:
- Modificar las reglas del firewall para denegar el tráfico HTTP y HTTPS a MOVEit Transfer en los puertos 80 y 443.
- Es importante tener en cuenta que hasta que el tráfico HTTP y HTTPS se habilite nuevamente los usuarios no podrán iniciar sesión en la interfaz de usuario web de MOVEit Transfer. Además, las tareas de automatización de MOVEit que utilizan el host nativo de MOVEit Transfer, las API de REST, Java y .NET y el complemento MOVEit Transfer para Outlook no funcionarán.
- Los protocolos SFTP y FTP/s seguirán funcionando normalmente
- Los administradores aún podrán acceder a MOVEit Transfer utilizando escritorio remoto para acceder a la máquina Windows y luego acceder a https://localhost/
Referencias:
- https://securityonline.info/cve-2023-35708-moveit-transfer-critical-vulnerability/
- https://nvd.nist.gov/vuln/detail/CVE-2023-35708
- https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-15June2023
- https://cdn.ipswitch.com/ft/MOVEit/Transfer/2023/2023.0.3/MOVEitTransfer-2023.0.3-dropins.zip?_ga=2.145151412.1298196948.1686917383-1156822481.1686062028
- https://cdn.ipswitch.com/ft/MOVEit/Transfer/2022/2022.1.7/MOVEitTransfer-2022.1.7-dropins.zip?_ga=2.119397001.1298196948.1686917383-1156822481.1686062028
- https://cdn.ipswitch.com/ft/MOVEit/Transfer/2022/2022.0.6/MOVEitTransfer-2022.0.6-dropins.zip?_ga=2.148815159.1298196948.1686917383-1156822481.1686062028
- https://cdn.ipswitch.com/ft/MOVEit/Transfer/2021/2021.1.6/MOVEitTransfer-2021.1.6-dropins.zip?_ga=2.215396631.1298196948.1686917383-1156822481.1686062028
- https://cdn.ipswitch.com/ft/MOVEit/Transfer/2021/2021.0.8/MOVEitTransfer-2021.0.8-dropins.zip?_ga=2.145096116.1298196948.1686917383-1156822481.1686062028
- https://cdn.ipswitch.com/ft/MOVEit/Transfer/2020.1.10/MOVEitTransfer-2020.1.10-dropins.zip?_ga=2.145096116.1298196948.1686917383-1156822481.1686062028