SEC investigará Progress Software sobre hacks em massa ao MOVEit

Empresa foi intimada a entregar vários documentos e informações relacionados à vulnerabilidade em seu software de transferência de arquivos
Da Redação
13/10/2023

A Progress Software pode enfrentar novos litígios em razão da vulnerabilidade em seu software de transferência de arquivos MOVEit que afetou milhões de usuários finais em todo o mundo. A investigação mais recente vem da Comissão de Valores Mobiliários (SEC) dos EUA, que está buscando informações relacionadas ao ataque hacker em massa por meio do produto da empresa.

“Em 2 de outubro, a Progress recebeu uma intimação da SEC buscando vários documentos e informações relacionados à vulnerabilidade MOVEit”, disse a fabricante de software em um documento recente. “Nesta fase, a investigação da SEC é uma apuração de fatos, não significa que a Progress ou qualquer outra pessoa violou as leis federais de valores mobiliários, e a investigação não significa que a SEC tenha uma opinião negativa de qualquer pessoa, entidade ou segurança.”

A Progress disse que pretende cooperar totalmente com a SEC na investigação.

A vulnerabilidade de injeção de SQL, identificada como CVE-2023-34362, com escore de 9.8 no sistema de pontuação comum de vulnerabilidades (CVSS), foi relatada pela primeira vez em 28 de maio, quando um cliente ligou para o Progress para alertar contra atividades incomuns no ambiente MOVEit.

A Progress disse que investigações como a iniciada pela SEC podem afetar negativamente as operações da empresa e abri-las para futuras investigações governamentais e regulatórias. “Nossa responsabilidade financeira decorrente de qualquer um dos precedentes [explorações do MOVEit] dependerá de muitos fatores, incluindo a extensão com que as entidades governamentais investigam o assunto e as limitações contidas em nossos contratos de clientes; portanto, não podemos, neste momento, estimar o impacto quantitativo de tal responsabilidade com qualquer grau razoável de certeza”, disse a Progress.

A empresa também disse que estima perdas operacionais, já que espera que alguns clientes possam desistir momentaneamente dos contratos programados. “Se os clientes ou parceiros buscarem reembolsos, atrasarem a implementação de nossos produtos, atrasarem o pagamento, não nos pagarem sob os termos de nossos acordos ou encerrarem o uso de nossos produtos, poderemos ser afetados negativamente tanto pela incapacidade de cobrar os valores devidos quanto pelo custo de fazer cumprir os termos de nossos contratos [incluindo litígios relacionados a eles”, acrescentou a Progress.

A Progress já tem 23 clientes afetados que indicaram que “pretendem buscar indenização” e provavelmente atrasarão os pagamentos de acordo com seus termos contratuais, disse a empresa.

O hack ao MOVEit teve um efeito devastador na reputação da Progress, que tem mais de 65 milhões de clientes em todo o mundo sofrendo com o comprometimento de dados confidenciais. Na semana passada, a Sony e o Flagstar Bank confirmaram 6 mil e 800 mil novas vítimas cujos registros foram acessados em incidentes relacionados ao MOVEit.

Veja isso
Clop passa a liderar ‘mercado’ de ransomware após hack ao MOVEit
Hack ao MOVEit já gerou mais de 600 ataques e ainda não terminou

Vários ataques de ransomware foram iniciados com os dados roubados por meio do hack ao software, e cerca de um terço dos ataques foram atribuídos ao Clop, uma variante de ransomware FIN11. Em 6 de junho, a Clop publicou um comunicado em seu portal na dark web, alegando ter explorado a vulnerabilidade MOVEit para exfiltrar dados de centenas de organizações.

Em 31 de maio, a Progress anunciou a correção do dia zero nas versões on premises do MOVEit e seus servidores de teste em nuvem (nuvem MOVEit). Além disso, a empresa reconheceu e corrigiu várias vulnerabilidades subsequentes de injeção de SQL no software — CVE-2023-35036, CVE-2023-35708, CVE-2023-36934, CVE-2023-36932 e CVE-2023-36933 — de meados de junho ao início de julho, com um CVSS médio de 9.4.

Outro dia zero de alta gravidade que funcionou durante toda a semana passada foi uma falha crítica (CVSS 10) no data center e no servidor Atlassian Confluence. O bug de alta classificação, identificado como CVE-2023-22515, foi confirmado pela equipe do Microsoft Threat Intelligence como tendo uma exploração de dia zero pelo operador ligado ao governo chinês Storm-0062. Com agências de notícias internacionais.

Compartilhar:

Últimas Notícias