Progress Software podría enfrentarse a un litigio tras el descubrimiento de un día cero explosivo en el servicio de transferencia de archivos MoveIT de su filial Ipswitch. que ha impactado a millones de usuarios finales en todo el mundo. La última investigación proviene de la Comisión de Bolsa y Valores de EE. UU. (SEC), que busca información sobre este hackeo masivo. La vulnerabilidad de inyección SQL, llamado CVE-2023-34362con un CVSS de 9,8, se informó por primera vez el 28 de mayo, cuando un cliente llamó a Progress para informar de una actividad inusual en el entorno MoveIT.

"El 2 de octubre de 2023, Progress recibió una citación de la SEC en busca de diversos documentos e información relacionados con la vulnerabilidad en MoveIT", dijo el editor en una presentación reciente ante la comisión. “En este punto, la investigación de la SEC es una investigación de determinación de hechos, no significa que Progress o cualquier otra persona haya violado las leyes federales de valores, y que la SEC tenga una opinión negativa de cualquier persona, entidad o valor”, especifica el proveedor. Declaró su intención de cooperar plenamente con la comisión en su investigación.

Índice
  1. Temores de impactos operativos
  2. La lista de víctimas se acumula

Temores de impactos operativos

El grupo dijo que investigaciones como la iniciada por la SEC pueden tener un efecto negativo en el negocio de la empresa y exponerlo a futuras investigaciones gubernamentales y regulatorias. “Nuestra responsabilidad financiera derivada de lo anterior (los exploits de MoveIT) dependerá de muchos factores, incluido el alcance de la investigación por parte de entidades gubernamentales y las limitaciones contenidas en los contratos con nuestros clientes; por lo tanto, en este momento no podemos estimar el impacto cuantitativo de dicha responsabilidad con un grado razonable de certeza”, dijo Progress Software. Este último también estimó las pérdidas operativas relacionadas con los clientes en duelo, ya que la empresa espera que algunos de ellos se retiren temporalmente de los contratos previstos.

“Si los clientes o socios solicitan reembolsos, retrasan la implementación de nuestros productos o pagos, no nos pagan de acuerdo con los términos de nuestros acuerdos o cancelan el uso de nuestros productos, podemos estar sujetos tanto a la imposibilidad de recuperar los montos adeudados como a la el costo de hacer cumplir los términos de nuestros contratos (incluidas las disputas relacionadas)”, agregó el editor. 23 de sus clientes afectados han indicado que tienen la intención de buscar una compensación de Progress Software y probablemente retrasarán los pagos de acuerdo con los términos de su contrato, dijo la compañía.

La lista de víctimas se acumula

El hackeo de MoveIT tuvo un efecto devastador en la reputación de Progress Software, ya que más de 65 millones de clientes en todo el mundo vieron comprometidos sus datos confidenciales. Recientemente, Sony confirmó que el acceso a los datos de 6.000 empleados tuvo lugar en un incidente relacionado con MoveIT, mientras que Flagstar Bank afirmó que se robaron más de 800.000 registros de clientes. El 25 de septiembre, BORN Ontario, un registro de nacimientos administrado por el gobierno en la provincia canadiense, confirmó que los datos de aproximadamente 3,4 millones de personas habían quedado expuestos debido al uso del servicio de transferencia de archivos. Se lanzaron varios ataques de ransomware con datos robados, y alrededor de un tercio de estos ataques se atribuyeron al operador detrás de Clop que explotaba una variante del ransomware del grupo APT FIN11. El 6 de junio, esta banda cibernética publicó un comunicado en su portal de la web oscura, afirmando haber aprovechado la vulnerabilidad MoveIT para exfiltrar datos de cientos de organizaciones.

Se cree que este grupo de ciberdelincuentes afectó al menos a tres agencias gubernamentales de EE. UU. al explotar vulnerabilidades en el sistema de transferencia de archivos MoveIT. Las autoridades federales estadounidenses han ofrecido una recompensa de 10 millones de dólares por cualquier evidencia de vínculos entre Clop y un gobierno extranjero. El 31 de mayo, Progress Software anunció la implementación de un parche de día cero en las versiones locales y en los servidores de prueba en la nube de MoveIT. Además, la empresa reconoció y solucionó varias vulnerabilidades de inyección SQL posteriores en MoveIT identificadas como CVE-2023-35036, CVE-2023-35708, CVE-2023-36934, CVE-2023-36932Y CVE-2023-36933desde mediados de junio hasta principios de julio, cuyo CVSS promedio es de 9,4. La semana pasada se descubrió otra falla crítica (CVSS 10.0) que afecta a la versión del servidor de Atlassian Confluence de alta gravedad y también de día cero. El error, llamado CVE-2023-22515, ha sido confirmado por el equipo de Threat Intelligence de Microsoft como haber sido explotado por el actor estatal chino Storm-0062.