Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
La falla de MoveIt Transfer conduce a una ola de divulgaciones de violaciones de datos
Una falla crítica de día cero en el producto MoveIt Transfer de Progress Software ha provocado una ola de ataques contra organizaciones como el proveedor de software de recursos humanos Zellis y el gobierno de Nueva Escocia, Canadá.
La falla se hizo pública el 31 de mayo cuando Progress detalló un error de inyección SQL, ahora rastreado como CVE-2023-34362, en su software de transferencia de archivos administrados (MFT) MoveIt Transfer. Progress instó a los clientes a aplicar de inmediato mitigaciones para la vulnerabilidad, que ya estaba bajo ataque, mientras trabajaba en un parche que se lanzó más tarde ese día. Los proveedores de seguridad como Rapid7 informaron poco después que la falla estaba bajo explotación activa en la naturaleza. Microsoft publicó el domingo una nueva investigación que atribuye los ataques a un actor de amenazas al que denominó "Lace Tempest", que estaba vinculado a la banda de ransomware Clop.
Múltiples organizaciones ahora han confirmado violaciones de datos que ocurrieron como resultado de la vulnerabilidad, ya sea a través de la falla directamente o aguas abajo. Zellis, con sede en el Reino Unido, dijo en un comunicado de prensa el lunes que "un pequeño número de nuestros clientes se han visto afectados por este problema global y estamos trabajando activamente para apoyarlos".
“Una vez que nos dimos cuenta de este incidente, tomamos medidas inmediatas, desconectamos el servidor que utiliza el software MoveIt y contratamos a un equipo externo experto en respuesta a incidentes de seguridad para ayudar con el análisis forense y el monitoreo continuo”, se lee en el comunicado. "También notificamos a ICO, DPC y NCSC tanto en el Reino Unido como en Irlanda. Empleamos procesos de seguridad sólidos en todos nuestros servicios y todos continúan funcionando con normalidad".
La BBC, British Airways (BA) y el minorista británico Boots han confirmado los ataques resultantes de la falla, y BA confirmó a la publicación hermana de TechTarget, ComputerWeekly, que su brecha comenzó aguas abajo de Zellis.
El gobierno de Nueva Escocia, Canadá, también confirmó un ataque vinculado a MoveIt Transfer el martes a través de un comunicado de prensa. El gobierno estimó que los datos personales de hasta 100.000 empleados públicos pasados y presentes pueden haberse visto comprometidos como resultado de su incumplimiento.
"La Provincia ha determinado que la información personal de muchos empleados de Nova Scotia Health, el Centro de Salud IWK y el servicio público ha sido robada en la brecha de seguridad cibernética global de MoveIt", se lee en el comunicado de prensa. “Hasta el momento, la investigación provincial indica que se sustrajeron números de seguro social, direcciones e información bancaria. La cantidad y el tipo de información depende del empleador. Esta información se compartió a través del servicio de transferencia de archivos MoveIt porque este servicio se utiliza para transferir la nómina de los empleados. información."
La Universidad de Rochester, con sede en Nueva York, reveló una infracción el 2 de junio, aunque no hizo referencia a MoveIt Transfer por su nombre. Se refirió al origen del ataque que sufrió como "una vulnerabilidad de software en un producto proporcionado por una empresa de transferencia de archivos de terceros" que "ha afectado a la Universidad y aproximadamente a 2.500 organizaciones en todo el mundo".
"En este momento, creemos que la facultad, el personal y los estudiantes podrían verse afectados, pero aún no conocemos el alcance total del impacto para los miembros de la comunidad universitaria o a qué datos personales se accedió, ya que la investigación está en curso", dijo la divulgación de la brecha. leer. "Proporcionaremos actualizaciones tan pronto como estén disponibles".
TechTarget Editorial contactó a la universidad para confirmar si el ataque estaba relacionado con MoveIt Transfer, pero la universidad no ha respondido al cierre de esta edición.
Clop anunció en su sitio de fuga de datos a principios de esta semana que comenzará a publicar los nombres de las víctimas en el sitio si esas organizaciones no se ponen en contacto con la pandilla de ransomware antes del 14 de junio. La pandilla, que se autodenomina "una de las principales organizaciones [ que] ofrecen servicio de prueba de penetración después del hecho", dijo que comenzará a publicar los datos de las víctimas después de siete días si no se realiza un pago.
Curiosamente, Clop también anunció que borró todos los datos de las agencias gubernamentales, los servicios de la ciudad o los departamentos de policía, y que dichas organizaciones no necesitan ponerse en contacto con la banda de ransomware. "No tenemos ningún interés en exponer esa información", dijo Clop.
Alexander Culafi es un escritor, periodista y podcaster con sede en Boston.