El 31 de mayo de 2023, Progress Software reveló
una vulnerabilidad que permite a actores no autenticados acceder a su base de datosMOVEit® Transfer y ejecutar sentencias SQL para alterar o eliminar información. MOVEit Transfer es un software de transferencia de archivos gestionada que forma parte de la plataforma en la nube Progress MOVEit, utilizada para consolidar todas las actividades de transferencia de archivos en un solo sistema.
Desde que se reveló, la banda de ciberdelincuentes Clop ha aprovechado la vulnerabilidad y la ha usado para atacar a un montón de organizaciones de diferentes sectores y lugares, como el proveedor de software de recursos humanos Zellis, la BBC, el gobierno de Nueva Escocia y muchos otros. Aunque Progress Software ha arreglado la vulnerabilidad, Clop sigue revelando nuevas víctimas.
Al igual que con los ataques a SolarWinds, Kaseya, LastPass y el similar Accellion
,
es fundamental que los profesionales de gestión de riesgos de terceros comprendan cuáles de sus proveedores podrían estar expuestos a la vulnerabilidad de MOVEit para reducir la probabilidad y la gravedad de un ataque a sus propias infraestructuras de TI o la exposición de sus datos.
En esta publicación, recomendamos ocho preguntas que debe hacer a sus proveedores externos para determinar su uso de MOVEit y comprender su respuesta ante cualquier incidente de seguridad relacionado. También compartimos tres prácticas recomendadas para automatizar mejor la respuesta ante incidentes de terceros de su organización.
| Preguntas | Respuestas posibles |
|---|---|
| 1) ¿Utiliza la organización el software de transferencia de archivos gestionada MOVEit Transfer o MOVEit Cloud? | Seleccione una de las siguientes opciones:
a) Sí, la organización utiliza la solución MOVEit Transfer o Cloud. b) No, la organización no utiliza la solución MOVEit Transfer ni Cloud. |
| 2) ¿Se ha visto afectada la organización por la vulnerabilidad de inyección SQL de MOVEit?
Texto de ayuda: Impacto significativo: La vulnerabilidad ha provocado una pérdida de confidencialidad o integridad de los datos. Alto impacto: se ha perdido periódicamente la disponibilidad del sistema y se ha producido cierta pérdida de confidencialidad o integridad de los datos. Bajo impacto: sin pérdida de confidencialidad o integridad de los datos; interrupción mínima o nula de la disponibilidad del sistema. |
Seleccione una de las siguientes opciones:
a) Se ha producido un impacto significativoen nuestros sistemas, aplicaciones o información críticos. b) Existe un alto nivel de impactoen nuestros sistemas, aplicaciones o información críticos. c) El impactoen nuestros sistemas, aplicaciones o información críticos ha sido mínimo. d) El ciberataque noha tenido ningún impactoen nuestros sistemas, aplicaciones o información críticos. |
| 3) En caso de que se utilice MOVEit Transfer, ¿ha tomado la organización las medidas recomendadas por el proveedor de la solución (Progress Software) para solucionar la vulnerabilidad?
Texto de ayuda: Las organizaciones deben modificar las reglas del firewall para denegar el tráfico HTTP y HTTPs a MOVEit Transfer en los puertos 80 y 443 antes de aplicar los últimos parches. A continuación se incluye unalista de indicadores de compromiso y los pasos recomendados. |
Seleccione todas las opciones que correspondan.
a) Hemos desactivado todo el tráfico HTTP y HTTPs al entorno MOVEit Transfer. b) Hemos tomado medidas para revisar, eliminar y restablecer las credenciales de las cuentas de servicio. c) Hemos aplicado los últimos parches, directamente desde el sitio web de PROGRESS, y relevantes para nuestra versión de MOVEit Transfer. d) Hemos llevado a cabo un monitoreo continuo de la red, los puntos finales y los registros en busca de indicadores de compromiso (IoC). |
| 4) En caso de que se utilice MOVEit Cloud, ¿ha tomado la organización las medidas recomendadas por el proveedor de la solución (Progress Software) para solucionar la vulnerabilidad? | Seleccione todas las opciones que correspondan.
a) Hemos revisado nuestros registros de auditoría en busca de indicios de descargas de archivos inesperadas o inusuales. b) Hemos revisado las direcciones IP que figuran en el archivo CVE. |
| 5) ¿Afecta el compromiso a los servicios críticos que se prestan a nuestra organización? | Seleccione una de las siguientes opciones:
a) Sí. b) No. |
| 6) ¿Quién es la persona de contacto designada para responder a consultas adicionales? | Indique la persona de contacto clave para la gestión de la información y los incidentes de ciberseguridad.
Nombre: Título: Correo electrónico: Teléfono: |
| 7) ¿Ha aplicado la organización las medidas de corrección y parcheo mencionadas anteriormente y recomendadas por Progress Software?
Texto de ayuda: Se ha detectado una nueva vulnerabilidad en la aplicación web MOVEit Transfer que podría permitir a un atacante no autenticado obtener acceso no autorizado a la base de datos de MOVEit Transfer. El proveedor de soluciones (Progress Software) ha recomendado a todas las organizaciones afectadas que actualicen a los últimos parches, que se publicaron el 9 de junio. |
Seleccione una de las siguientes opciones:
a) Sí, hemos aplicado la corrección publicada para las vulnerabilidades de mayo de 2023. b) No, actualmente no hemos aplicado la corrección publicada para las vulnerabilidades de mayo de 2023. |
| 8) Siguiendo las directrices de Progress Software, ¿ha aplicado la organización los parches?
Texto de ayuda: La aplicación del parche del 9 de junio se puede completar en diferentes rutas de instalación (DLL frente a instalador completo). Este [artículo de la base de conocimientos de MOVEit Transfer](https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-CVE-Pending-Reserve-Status-June-9-2023) describe los pasos y las versiones que requieren actualizaciones. |
Seleccione una de las siguientes opciones:
a) Hemos aplicado los últimos parches, directamente desde el sitio web de Progress Software, y relevantes para nuestra versión de MOVEit Transfer. b) Actualmente no hemos aplicado los parches recomendados por Progress Software. |
Tres prácticas recomendadas para mitigar los riesgos derivados de MOVEit y otras violaciones de seguridad de terceros
Aunque no es posible eliminar todos los riesgos de todas las relaciones con los proveedores, su programa de gestión de riesgos de terceros puede proporcionar la visibilidad y la automatización necesarias para detectar y mitigar de forma proactiva los riesgos que pueden perturbar su negocio. Comience con estos tres pasos:
1. Identificar a los proveedores que podrían estar utilizando la tecnología afectada.
Para saber qué proveedores utilizan una tecnología afectada, es necesario saber quiénes son sus proveedores en primer lugar, lo que significa crear un inventario centralizado de proveedores. Esto no se puede lograr utilizando hojas de cálculo o delegando la gestión de proveedores a los equipos de línea de negocio. Debe hacerse de forma centralizada en un sistema accesible para todas las personas involucradas en sus iniciativas de gestión de proveedores. Su sistema central de registro debe permitir la importación de datos de perfiles de proveedores desde cualquier hoja de cálculo existente o a través de una conexión API con su solución de compras actual.
Una vez que haya centralizado todos sus proveedores, utilice cuestionarios para proveedores respaldados por capacidades de escaneo pasivo que le ayudarán a identificar las relaciones tecnológicas con terceros. En este caso concreto, este ejercicio revelaría qué proveedores utilizan MOVEit. Recopilar información sobre las tecnologías de terceros implementadas en su ecosistema de proveedores ayuda a identificar las organizaciones que utilizan la tecnología afectada, de modo que pueda priorizar cuáles de sus proveedores requieren evaluaciones adicionales.
2. Emitir evaluaciones de riesgos específicas para cada evento.
Una vez que haya identificado a los proveedores que tienen la tecnología afectada implementada en sus entornos, involúcrelos en evaluaciones sencillas y específicas que se ajusten a las normas de seguridad y las mejores prácticas conocidas, como NIST 800-161
e ISO 27036. Los resultados de estas evaluaciones le ayudarán a determinar las medidas correctivas necesarias para subsanar las posibles brechas de seguridad. Las buenas soluciones de evaluación proporcionarán recomendaciones integradas para acelerar la corrección y subsanar rápidamente esas brechas.
Comience su evaluación específica para el evento basándose en las ocho preguntas de la sección anterior, ponderando las respuestas según la tolerancia al riesgo de su organización. Tenga en cuenta que estas son preguntas básicas destinadas a obtener información inicial. Su organización puede optar por formular preguntas diferentes o adicionales.
3. Supervisar continuamente a los proveedores afectados.
Es importante estar continuamente alerta, no solo ante los riesgos derivados del ataque a MOVEit, sino también ante los que puedan surgir en el próximo ataque. Empiece por supervisar Internet y la dark web mediante una supervisión cibernética continua para detectar anuncios de venta de credenciales robadas y otras señales de un incidente de seguridad inminente.
Sus esfuerzos de supervisión deben abarcar foros criminales, páginas onion, foros de acceso especial a la web oscura, fuentes de amenazas, sitios de pegado de credenciales filtradas, comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades y hackeos/violaciones, así como noticias negativas.
Puede supervisar múltiples fuentes individuales, o bien utilizar una solución que unifique la información procedente de múltiples fuentes, centralice todos los datos sobre riesgos y los ponga a disposición de las partes interesadas clave. Este último enfoque le permite correlacionar los resultados de la supervisión continua con las respuestas de la evaluación de riesgos para validar si los proveedores cuentan con controles o no.
Próximos pasos: active su programa de respuesta a incidentes de terceros.
Si se produjera un incidente de ciberseguridad en el ecosistema de sus proveedores, ¿sería capaz de comprender rápidamente sus implicaciones y activar un plan de respuesta ante incidentes? El tiempo es fundamental en la respuesta ante incidentes, por lo que ser más proactivo con un plan de respuesta ante incidentes definido acortará el tiempo necesario para descubrir y mitigar los posibles problemas de los proveedores. Un plan programático de respuesta ante incidentes de terceros debe incluir:
- Una base de datos gestionada de forma centralizada que recoge los proveedores y las tecnologías en las que se basan.
- Evaluaciones preestablecidas de resiliencia, continuidad y seguridad empresarial para medir la probabilidad y el impacto de un incidente.
- Puntuación y ponderación para ayudar a centrarse en los riesgos más importantes.
- Recomendaciones integradas para remediar posibles vulnerabilidades.
- Informes específicos para las partes interesadas con el fin de responder a la inevitable solicitud de la junta directiva.
Para obtener más información sobre cómo Prevalent puede ayudar a su organización a acelerar la detección y mitigación de riesgos de terceros, solicite una demostración hoy mismo.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
