Progress Software, os criadores do amplamente explorada solução de transferência de documentos MOVEit, tem emitiu patches de segurança urgentes para seu produto WS_FTP. Oito vulnerabilidades foram descobertas, afetando o módulo de transferência ad-hoc do software e a interface de gerenciamento do servidor WS_FTP.
Essas vulnerabilidades têm pontuações de gravidade CVSS que variam entre 5,3 e 10. CVSS significa Common Vulnerability Scoring System, que é gratuito. e padrão aberto da indústria para avaliar a gravidade das vulnerabilidades de segurança de sistemas de computador. As pontuações CVSS são mapeadas para diferentes classificações de gravidade: Nenhuma: 0,0, Baixa: 0,1 – 3,9, Média: 4,0 – 6,9, Alta: 7,0 – 8,9 e Crítica: 9,0 – 10,0.
Versões anteriores à 8.7. 4 e 8.8.2 do servidor WS_FTP são vulneráveis a ataques de desserialização.NET. Se exploradas com sucesso, essas vulnerabilidades poderão permitir que um invasor execute comandos no sistema host. Clientes proeminentes como Scientific American, H&M e o time de futebol americano Denver Broncos são aconselhados a atualizar suas instalações para minimizar riscos.
Pôle emploi, a agência governamental francesa responsável pelo registro de desemprego e ajuda financeira, relatou uma violação de dados resultante da vulnerabilidade MOVEit. A agência afirmou: “O Pôle emploi tomou conhecimento da violação do sistema de informação de um de seus fornecedores envolvendo risco de divulgação de dados pessoais de candidatos a emprego.” Os cadastrados em fevereiro de 2022, bem como ex-usuários do centro de empregos, são potencialmente afetados por esse roubo de dados.
Outros gigantes da tecnologia lançam atualizações de segurança
Simultaneamente com a Progress Software, vários gigantes da tecnologia também lançaram atualizações de segurança esta semana devido a novas vulnerabilidades. Exim, servidor de e-mail de código aberto amplamente utilizado, lançado detalhes públicos de seis falhas, três das quais permanecem sem correção. Os dois problemas mais graves permitem a execução remota completa de código. Recurso Group Encrypted Transport VPN da Cisco no IOS teve um bug de execução remota de código explorado em estado selvagem, forçando-os a lançar patches com urgência. A Apple e o Google corrigiram vulnerabilidades com patches para Safari 17 e macOS Sonoma da Apple, e a quinta vulnerabilidade de dia zero do Chrome de 2023 do Google.
