Vulnerabilidad de escalada de privilegios en MOVEit Transfer de Progress

Fecha de publicación 16/06/2023
Importancia
5 - Crítica
Recursos Afectados
  • DLL Drop-In (para los clientes que tengan instalada una de las versiones necesarias de la lista, no dejar versiones antiguas de archivos DLL en el sistema, eliminarlas completamente):
    • 2023.0.1 (15.0.1);
    • 2022.1.5 (14.1.5);
    • 2022.0.4 (14.0.4);
    • 2021.1.4 (13.1.4);
    • 2021.0.6 (13.0.6);
    • 2020.1.6 (12.1.6) o posteriores;
    • 2020.0.x (12.0) o anteriores.
  • Instalación completa (si se realiza esta instalación, aplicar las DLL del punto anterior):
    • 2023.0.x (15.0.x);
    • 2022.1.x (14.1.x);
    • 2022.0.x (14.0.x);
    • 2021.1.x (13.1.x);
    • 2021.0.x (13.0.x);
    • 2020.1.x (12.1);
    • 2020.0.x (12.0) o anteriores;
    • Cloud.
Descripción

Progress ha notificado una vulnerabilidad crítica en su producto MOVEit Transfer.

Solución
  • Si no se han aplicado los parches de mayo 2023: seguir los pasos de ese aviso y aplicarlos.
  • Si se han aplicados los parches de mayo 2023 y junio 2023: aplicar las medidas del apartado 'Immediate Mitigation Steps to Take' del aviso publicado hoy por el fabricante.
Detalle

Progress ha descubierto una vulnerabilidad en MOVEit Transfer que podría dar lugar a una escalada de privilegios y a un posible acceso no autorizado al entorno, permitiendo al atacante tomar el control del sistema afectado.