El Departamento de Educación de la Ciudad de Nueva York (NYC DOE) denunció haber sufrido a través de su servidor de MOVEit Transfer, el robo de datos de 45000 estudiantes, entre los que se suman, datos del personal del DOE y proveedores de servicios relacionados. Según las investigaciones, NYC DOE parcheó tan pronto supo sobre este incidente, identificado como (CVE-2023-34362), sin embargo, los actores de amenazas ya habían explotado la vulnerabilidad, robando algunos datos como, por ejemplo, números de seguro social y números de identificación de los empleados.
Hasta el momento, se sabe que detrás de estos ataques se encuentra la banda de ransomware Clop, que se atribuyó la responsabilidad de los mismos, al igual que la explotación activa desde 2021 de un zero-day actualmente parcheado, donde los actores estuvieron probando un exploits para extraer datos de servidores comprometidos.
Además del NYC DOE, otras de las empresas afectadas por estos ataques fueron, Shell, la Universidad de Georgia (UGA) y el Sistema Universitario de Georgia (USG), Heidelberger Druck, UnitedHealthcare Student Resources (UHSR) y Landal Greenparks.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) reveló que varias agencias federales de EE. UU. también se han visto comprometidas, según CNN. Federal News Network dijo que los ataques también afectaron a dos entidades del Departamento de Energía de EE. UU. (DOE).
En este contexto, luego de conocerse los numerosos ataques realizados por esta banda de ciberdelincuentes, la empresa Progress advirtió a los clientes de MOVEit Transfer que restringieran el acceso HTTP a sus servidores después de que se publicara en línea información sobre una nueva falla de seguridad de inyección SQL (SQLi) (CVE-2023-35708). Dicha advertencia se produjo después de que otro aviso revelara varias otras vulnerabilidades críticas del mismo tipo rastreadas colectivamente como (CVE-2023-35036).
Si bien, la cantidad de organizaciones potencialmente vulneradas hasta ahora es significativamente mayor que la que se creía, se recomienda a las organizaciones mantener activa la protección de sus entornos mientras se continúa abordando posibles nuevas vulnerabilidades en la aplicación.
Fuente
Ciberprisma - alianza por la ciberseguridad 