Progress Software ha recentemente scoperto e risolto un grave problema di sicurezza nel suo popolare software di trasferimento file, MOVEit Transfer. Il problema, noto come vulnerabilità di SQL injection, avrebbe potuto consentire agli utenti non autorizzati di accedere al database del software senza necessità di effettuare il login. Questa falla è particolarmente critica perché può essere sfruttata dagli attaccanti che non dispongono di credenziali valide. Fortunatamente, finora non ci sono state segnalazioni di questa vulnerabilità utilizzata attivamente dagli attaccanti.
Scoperta segue una serie di attacchi informatici che hanno preso di mira MOVEit Transfer utilizzando una diversa vulnerabilità di SQL injection. Questi attacchi hanno comportato il furto di dati e l’estorsione dalle organizzazioni colpite. Come parte della loro risposta, Progress Software ha anche affrontato altre due vulnerabilità significative, una che consente l’accesso non autorizzato al database e un’altra che può spegnere inaspettatamente il software.
L’azienda software è stata avvisata di queste vulnerabilità dai ricercatori di HackerOne e dall’iniziativa Zero Day di Trend Micro. È importante notare che sono interessate varie versioni di MOVEit Transfer e Progress Software ha reso disponibili aggiornamenti per tutte le principali versioni. Si consiglia vivamente agli utenti di aggiornare il proprio software all’ultima versione per ridurre al minimo i rischi associati a queste vulnerabilità.
Source: Hackernews
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.