Son tiempos difíciles para Progress Software, editor de la aplicación de transferencia de archivos MoveIT. Desde principios de junioel proveedor continúa descubriendo vulnerabilidades críticas en su herramienta. El primero es particularmente explotado. por el grupo de ransomware llamado Clop. Luego, al comienzo de la semana, se descubrió un segundo defecto por la empresa Huntress sin pruebas de su explotación.

Nunca dos sin tres. Otra infracción encontrada en MoveIT Transfer, dice Progress Software en un boletín. A la falla, un tipo de inyección SQL, aún no se le ha asignado un identificador CVE y puede "resultar en una escalada de privilegios y un posible acceso no autorizado al entorno". Al igual que en casos anteriores, la empresa insta a sus clientes a desactivar todo el tráfico HTTP y HTTP hacia Moveit Transfer en los puertos 80 y 443 para proteger sus sistemas.

Clop enumera sus primeras víctimas, CISA pospone las cosas

Paralelamente a estos diversos descubrimientos, el grupo de ransomware Clop avanzó un paso al publicar en su sitio una lista de 27 empresas y administraciones pirateadas a través del fallo inicial en MoveIT Transfer. Se invita a las víctimas a negociar un rescate; de ​​lo contrario, el 21 de junio el grupo amenaza con publicar los datos robados. Entre los objetivos se encuentran Shell - la compañía petrolera confirmó la información a The Record - el Sistema Universitario de Georgia y la Universidad John Hoppkins, y también se hace referencia a varias agencias federales estadounidenses, como el Departamento de Energía de Estados Unidos.

El asunto se considera lo suficientemente importante como para que CISA se pronuncie en los medios. "Trabajamos estrechamente con Progress Software, el FBI y nuestros socios federales para comprender la prevalencia dentro de las agencias federales", dijo la directora Jen Easterly en El Registro. Por el momento, observa que no hay amenazas de extorsión ni publicación de datos gubernamentales. El líder enfatiza que “esta no es una campaña como SolarWinds que representa un riesgo sistémico para nuestra seguridad nacional o la red de nuestro país”. Para ella, los ataques se consideran más bien “oportunistas” y no están dirigidos ni preparados. Un proveedor de seguridad, Kroll, pudo determinar que la banda Clop conocida como TA505 estaba experimentando con la explotación de esta falla ya en julio de 2021.