Ir al contenido
Haga florecer su inteligencia en Internet | Obtenga un 20% de descuento en los planes anuales de Censys Search Teams o Solo con el código Spring24 hasta el 31/5 | Ahorre ahora
Blogs

MOVEit: un análisis del sector

Compartir

13 de junio de 2023
Etiquetas:
  • El 30,86% de los anfitriones que utilizan MOVEit pertenecen al sector de los servicios financieros, el 15,96% al de la sanidad, el 8,82% al de las tecnologías de la información y el 7,56% al de la administración pública y el ejército.
  • El 29% de las empresas observadas tienen más de 10.000 empleados, lo que indica que este servicio se utiliza en diversas organizaciones grandes.
  • Las empresas con sede en Estados Unidos representan una mayoría significativa, el 69%, de los anfitriones de MOVEit.

 

Nota: Como Censys es un escáner de Internet, no podemos determinar si estos dispositivos son vulnerables; estos son los servicios MOVEit que encontramos corriendo expuestos en Internet.

Introducción

Recientemente, los servicios de Transferencia Gestionada de Archivos (MFT) han acaparado una atención considerable en el ámbito de la seguridad. Aunque la MFT puede no ser un tema de discusión habitual, vale la pena señalar que las dos últimas vulnerabilidades importantes que hemos cubierto estaban dirigidas a sistemas y software diseñados explícitamente para facilitar las operaciones de MFT. En 2021, Businesswire informó de una previsión de crecimiento del sector del MFT, que alcanzaría la asombrosa cifra de 2.400 millones de dólares en 2027, con una estimación anual de 398 millones de dólares sólo ese año. Este sector emergente está revelando ahora sus implicaciones para la seguridad.

MFT representa un avance progresivo del protocolo FTP, que permite a las empresas transferir archivos entre ubicaciones designadas de forma segura. Junto con esta sencilla función, muchos de estos servicios ofrecen seguridad y cifrado avanzados y se ajustan a normas reglamentarias y de cumplimiento como HIPAA y PCI DSS, lo que los convierte en un objetivo de muy alto valor para los atacantes.

Rapid7 publicó recientemente un análisis muy detallado y perspicaz de la reciente vulnerabilidad MOVEit MFT, incluyendo una cadena de exploits en funcionamiento que se puede ver en Attackerkb. Este análisis reveló que la vulnerabilidad es más compleja de lo inicialmente previsto; explotarla implica utilizar inyección SQL y algunas técnicas de contrabando de peticiones, más detalladas en este enlace.

Mientras tanto, los ingenieros de seguridad se afanaban por comprender el exploit en cuestión y nosotros nos centrábamos en identificar los sectores que podrían verse afectados por esta vulnerabilidad.

Para realizar nuestro análisis, examinamos más de 1.400 servidores MOVEit de libre acceso en Internet. Utilizando diversos datos proporcionados por el host y las redes que operan estos hosts, pudimos asociarlos con empresas u organizaciones específicas. No hablaremos aquí de empresas concretas, sino de los sectores en los que operan.

Aunque la cantidad de estos hosts concretos puede parecer modesta si se tiene en cuenta la vasta extensión de Internet, el aspecto preocupante reside en el gran tamaño de las empresas implicadas y en los datos altamente sensibles que manejan.

Análisis

Industrias con MOVEit Hosts

Según nuestro análisis, el 30,86% de los hosts examinados pertenecían a organizaciones relacionadas con los servicios financieros, el 15,96% estaban asociados al sector sanitario, el 8,92% estaban vinculados a organizaciones de tecnologías de la información y el 7,5% se atribuían a entidades gubernamentales y militares. Además, el 4,41% de los anfitriones pertenecían al sector energético, mientras que el 4,06% pertenecían a la industria manufacturera. El gráfico anterior muestra los diez sectores principales en los que se encontró ejecutándose este software MOVEit.

Anfitriones de MOVEit en la industria de Servicios Financieros desglosados por países.

En el sector financiero, una mayoría significativa de estas organizaciones (72%) tenía su sede en Estados Unidos, mientras que un porcentaje menor (5,9%) estaba situado en el Reino Unido. En particular, estas empresas pueden clasificarse entre medianas y grandes, ya que algo menos del 25% tienen entre 1.000 y 5.000 empleados y aproximadamente el 22% declaran tener más de 10.000 empleados.

Fortra, una empresa que afronta su buena ración de problemas de seguridad, ha arrojado luz sobre algunas formas concretas en que el sector financiero aprovecha los servicios de MFT. La MFT es una valiosa herramienta para automatizar diversas tareas, sobre todo la transferencia segura de datos financieros confidenciales. Estos datos abarcan información financiera crucial como detalles de tarjetas de crédito, planes de jubilación y solicitudes de impuestos, que se intercambian con proveedores de datos externos como otras agencias de crédito y la tristemente célebre Equifax.

Anfitriones de MOVEit en el sector sanitario desglosados por países

El uso de MOVEit en el sector sanitario es motivo de gran preocupación porque las organizaciones sanitarias suelen emplearlo para transferir información sanitaria protegida electrónicamente (ePHI) y datos de historiales médicos electrónicos (EHR) entre hospitales, farmacias y compañías de seguros. Esto significa que los datos que se encuentran en estos servidores no son sólo datos propiedad de la empresa, sino información de identificación personal (PII).

Este uso supone una parte significativa de la actividad de MOVEit, representando el 15,96% de los hosts de MOVEit. Entre estas instituciones sanitarias, alrededor del 79% tienen su sede en Estados Unidos, mientras que Francia acoge aproximadamente al 7,02%. A diferencia del sector financiero, la mayoría de estas empresas sanitarias son entidades a gran escala, que emplean a más de 10.000 personas y representan el 29,91% del total.

Por el contrario, el sector de las tecnologías de la información representa sólo el 8,92% de los usuarios de MOVEit. Dentro de este sector, las pequeñas y medianas empresas con 11-50 empleados representan el 29,3% de los anfitriones de MOVEit, lo que sugiere que esta industria no es la principal base de usuarios de este servicio.

Las organizaciones gubernamentales y militares también utilizan MOVEit, constituyendo aproximadamente el 7,56% del total de usuarios de MOVEit. Estas organizaciones se encuentran principalmente en EE.UU., con un 83,33%, seguidas del Reino Unido, con un 6,48%, y Canadá, con un 3,7%. Entre ellas, varias organizaciones, como el gobierno de Nueva Escocia (Canadá), el Departamento de Innovación y Tecnología de Illinois y el Departamento de Educación de Minnesota, se han presentado públicamente como víctimas de violaciones de las transferencias de MOVEit. Esto es especialmente alarmante porque poner en peligro documentos clasificados y datos civiles en instancias de MFT gubernamentales y militares puede amenazar la seguridad nacional y la vida de las personas implicadas.

Conclusión

Si hay algo crucial que podemos aprender de esto es que la seguridad de los datos no es lo mismo que la seguridad de las aplicaciones. Aunque los sistemas que se utilizan cumplan todas las normativas más recientes, el software debe estar escrito (y auditado) de forma que garantice la seguridad de los datos. Y aunque es comprensible que no todos los paquetes de software puedan examinarse con un microscopio, cualquier software que utilicemos que requiera acceso directo a Internet debe ser examinado por todas las partes implicadas antes de su despliegue.

Múltiples organizaciones han sido víctimas del robo de datos a través de la explotación de este día cero en las últimas semanas, y en base al nivel actual de exposición, el número de organizaciones afectadas probablemente seguirá aumentando.

A medida que las empresas crecen y sus redes se amplían, la gestión e identificación de cada uno de los servicios accesibles en la Internet pública se convierte en un reto cada vez mayor para los departamentos de TI. Sin las políticas y la supervisión adecuadas, las organizaciones pueden verse sorprendidas por este tipo de vulnerabilidades. Es de suma importancia que las organizaciones posean un conocimiento exhaustivo de las aplicaciones y servicios que operan dentro de sus redes y que comprendan plenamente las consecuencias potenciales que pueden surgir en caso de que dichos servicios se vean comprometidos.

Vulnerabilidades de seguridad como ésta suponen un riesgo importante para la privacidad de los ciudadanos de a pie, no sólo de las empresas; estos sistemas se han construido para ayudar a cumplir las normas a las grandes empresas, pero nos han fallado cuando se trata de proteger su propia seguridad.

Volver al Centro de Recursos
Soluciones de gestión de la superficie de ataque
Más información