Uma nova falha crítica de segurança no MOVEit Transfer está sendo explorada por cibercriminosos, representando uma séria ameaça. Identificada como CVE-2024-5806, a vulnerabilidade permite a bypass de autenticação e impacta diversas versões do software. Outra vulnerabilidade relacionada ao SFTP, denominada CVE-2024-5805, também foi corrigida recentemente. Ambas as falhas possuem uma pontuação CVSS de 9.1, indicando sua alta gravidade. Pesquisadores como Aliz Hammond e Sina Kheirkhah detalharam que a CVE-2024-5806 possibilita a personificação de qualquer usuário no servidor, aumentando significativamente o risco.

A CVE-2024-5806 é composta por duas vulnerabilidades separadas, uma no próprio MOVEit e outra na biblioteca IPWorks SSH. A Progress Software recomendou aos usuários bloquear o acesso RDP público e restringir o acesso a endpoints confiáveis para mitigar os riscos associados. Para explorar a falha, os atacantes precisam ter conhecimento de um nome de usuário existente que a conta alvo possa autenticar remotamente, além de garantir que o serviço SFTP seja acessível publicamente pela internet.

De acordo com informações da Rapid7, aproximadamente 2.700 instâncias do MOVEit Transfer estão online, com a maioria localizada nos Estados Unidos, Reino Unido, Alemanha e outros países. A exploração potencial da CVE-2024-5806 destaca a urgência das atualizações de segurança, especialmente após incidentes anteriores envolvendo o MOVEit Transfer em ataques de ransomware como o Cl0p. A CISA (Agência de Segurança de Infraestrutura e Cibernética dos EUA) revelou que seu CSAT foi alvo de ataques, possivelmente expondo dados sensíveis durante esses incidentes.