Progress Software ha descobert i solucionat recentment un greu problema de seguretat en el seu popular programa de transferència de fitxers, MOVEit Transfer. El problema, conegut com a vulnerabilitat d’injecció SQL, podria haver permès que usuaris no autoritzats accedeixin a la base de dades del programa sense necessitat de iniciar sessió. Aquesta fallada és particularment crítica perquè pot ser explotada per atacants que no tenen credencials vàlides. Afortunadament, fins ara no s’han reportat casos d’aquesta vulnerabilitat usada activament pels atacants.
Aquest descobriment segueix una sèrie d’atacs cibernètics que van dirigir-se a MOVEit Transfer utilitzant una altra vulnerabilitat d’injecció SQL. Aquests atacs van resultar en robatoris de dades i extorsió a les organitzacions afectades. Com a part de la seva resposta, Progress Software també ha abordat dues altres vulnerabilitats significatives, una que permet l’accés no autoritzat a la base de dades i una altra que pot tancar de manera inesperada el programa.
La companyia de software va ser alertada d’aquestes vulnerabilitats per part d’investigadors de HackerOne i de Zero Day Initiative de Trend Micro. És important destacar que afecta múltiples versions de MOVEit Transfer i Progress Software ha posat a disposició actualitzacions per a totes les principals versions. Es recomana encaridament als usuaris que actualitzin el seu programa a la darrera versió per minimitzar els riscos associats a aquestes vulnerabilitats.
Source: Hackernews
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.