¿Qué es MOVEit Transfer y por qué es un objetivo de alto valor?

MOVEit Transfer es un producto de transferencia de archivos gestionada (MFT, Managed File Transfer) desarrollado por Progress Software. Las organizaciones lo usan para transferir archivos de forma segura entre sistemas, socios comerciales y clientes, cumpliendo requisitos regulatorios (HIPAA, PCI DSS, SOX). Es un objetivo de alto valor porque: primero, por definición almacena o transita archivos sensibles (datos financieros, información médica, datos personales). Segundo, está expuesto a Internet para permitir las transferencias. Tercero, las organizaciones que lo usan tienden a ser grandes empresas, agencias gubernamentales, hospitales y entidades financieras que manejan volúmenes masivos de datos regulados. Cuarto, los appliances MFT operan como puntos centrales de transferencia de datos: comprometer uno puede dar acceso a los datos de cientos de socios y clientes.

¿Cómo funciona técnicamente la SQL injection de CVE-2023-34362?

CVE-2023-34362 es una SQL injection en la interfaz web de MOVEit Transfer que permite evadir la autenticación y obtener acceso administrativo. El ataque se dirigía a un endpoint de la aplicación web que procesaba parámetros HTTP sin sanitización adecuada. La inyección SQL permitía al atacante consultar la base de datos de MOVEit para extraer tokens de sesión de administrador (sysadmin API access tokens). Con el token de administrador, el atacante interactuaba con la API de la aplicación para acceder a una función de deserialización. Mediante un payload de deserialización malicioso inyectado en este punto, conseguía ejecución de código en el servidor. El resultado final era la capacidad de desplegar un webshell (LEMURLOOT) que proporcionaba acceso persistente y la capacidad de exfiltrar archivos almacenados en MOVEit o en su almacenamiento backend (Azure Blob Storage, S3, o almacenamiento local).

¿Qué es LEMURLOOT y cómo funcionaba?

LEMURLOOT es el nombre asignado por Mandiant al webshell personalizado que Cl0p desplegaba en los servidores MOVEit comprometidos. Era una aplicación web ASP.NET (archivo human2.aspx) que se instalaba en el directorio web del servidor MOVEit. LEMURLOOT proporcionaba múltiples funcionalidades al atacante: listado de archivos y directorios almacenados en MOVEit Transfer, descarga masiva de archivos, ejecución de comandos SQL contra la base de datos de MOVEit para obtener información sobre organizaciones y configuraciones, y comunicación con el servidor de comando y control de Cl0p. El webshell se autenticaba mediante una cabecera HTTP personalizada con un valor específico, lo que significaba que solo los operadores de Cl0p que conocían la contraseña podían interactuar con él. Si la cabecera no estaba presente, el webshell devolvía un error 404 simulado para pasar desapercibido.

¿Por qué Cl0p eligió el Memorial Day para lanzar el ataque?

Cl0p lanzó la explotación masiva de MOVEit Transfer alrededor del 27 de mayo de 2023, coincidiendo con el fin de semana de Memorial Day en Estados Unidos. Esta elección fue deliberada y responde a una estrategia probada: los fines de semana largos y festivos son los momentos en que los equipos de seguridad operan con personal reducido, los tiempos de respuesta a alertas son más largos, y las organizaciones tardan más en coordinar acciones de contención. Cl0p ya había demostrado esta misma estrategia con GoAnywhere (explotado durante un fin de semana) y la había observado en otros grupos de ransomware. El objetivo era maximizar la ventana de explotación antes de que los parches y las mitigaciones se desplegaran. Para cuando muchas organizaciones volvieron al trabajo el martes 30 de mayo, Cl0p ya había comprometido cientos de instancias de MOVEit Transfer y exfiltrado datos.

¿En qué se diferencia el modelo de extorsión de Cl0p del ransomware tradicional?

En la campaña de MOVEit, Cl0p utilizó un modelo de extorsión pura sin cifrado de datos (encryption-less extortion). El ransomware tradicional cifra los archivos de la víctima y demanda un rescate para proporcionar la clave de descifrado. Cl0p, en cambio, solo robaba los datos y amenazaba con publicarlos en su sitio de filtraciones (.onion) si la víctima no pagaba. Este modelo tiene ventajas para el atacante: es más rápido (no necesita desplegar y ejecutar ransomware en cada sistema), es más sigiloso (no genera las alertas que produce el cifrado masivo de archivos), y escala mejor (puede comprometer miles de organizaciones simultáneamente sin la infraestructura necesaria para gestionar claves de descifrado individuales). Para la víctima, la situación es paradójicamente más difícil: no hay nada que descifrar, no hay remediación técnica posible una vez los datos han sido exfiltrados, y la amenaza de publicación es permanente.

AvanzadovulnerabilidadesCVEsql-injectionransomwaresupply-chain

MOVEit CVE-2023-34362: SQL Injection a Escala Industrial (2023)

CVE-2023-34362 en MOVEit Transfer permitía a un atacante no autenticado ejecutar SQL injection en la interfaz web, obtener tokens de administrador y desplegar webshells. Cl0p explotó este zero-day durante el Memorial Day de 2023, comprometiendo más de 2.700 organizaciones y afectando a más de 90 millones de personas. El ataque redefinió el modelo de extorsión sin cifrado.

MalwareIntel Research·20 de mayo de 2026·14 min lectura·2 técnicas ATT&CK

Serie: Vulnerabilidades que Cambiaron la Historia — Parte 25

El robo silencioso del Memorial Day

El viernes 27 de mayo de 2023, mientras millones de estadounidenses se preparaban para el fin de semana largo de Memorial Day, los operadores de Cl0p ejecutaban la fase final de una operación que habían planificado durante semanas. Su objetivo: explotar CVE-2023-34362, una vulnerabilidad SQL injection zero-day en MOVEit Transfer, contra el mayor número posible de instancias antes de que nadie se diera cuenta.

MOVEit Transfer es un producto de transferencia de archivos gestionada (MFT) desarrollado por Progress Software, utilizado por miles de organizaciones para mover datos sensibles de forma segura. Bancos, hospitales, agencias gubernamentales, aseguradoras y grandes corporaciones confían en MOVEit para transferir la información más delicada que poseen: datos financieros, registros médicos, información personal de empleados y clientes.

Para cuando las organizaciones volvieron al trabajo el martes 30 de mayo, Cl0p ya había comprometido cientos de instancias de MOVEit Transfer, desplegado webshells persistentes y comenzado la exfiltración masiva de datos. El recuento final: más de 2.700 organizaciones afectadas, más de 90 millones de personas cuyos datos fueron comprometidos, y un nuevo modelo de extorsión que demostraba que el ransomware no necesita cifrar nada para ser devastador.

La vulnerabilidad: SQL injection en 2023

Contexto técnico de MOVEit Transfer

MOVEit Transfer es una aplicación web basada en ASP.NET que se despliega en Windows Server con IIS (Internet Information Services) como servidor web. La aplicación utiliza una base de datos backend (MySQL, Microsoft SQL Server o Azure SQL) para almacenar metadatos, configuraciones y tokens de sesión.

La arquitectura típica de un despliegue de MOVEit Transfer incluye:

Interfaz web HTTPS: Para que usuarios y socios accedan a archivos y gestionen transferencias.
Servidor SFTP/SCP/FTP: Para transferencias automatizadas entre sistemas.
Base de datos: Almacena usuarios, permisos, metadatos de archivos, logs de transferencias y tokens de sesión.
Almacenamiento de archivos: Los archivos transferidos se almacenan en el sistema de archivos local, Azure Blob Storage o Amazon S3.

La SQL injection

CVE-2023-34362 es una SQL injection en la interfaz web de MOVEit Transfer que afectaba a un endpoint accesible sin autenticación. La vulnerabilidad permitía a un atacante inyectar sentencias SQL arbitrarias en las consultas que la aplicación realizaba contra su base de datos backend.

La inyección SQL se encontraba en un componente de la aplicación web que procesaba parámetros HTTP sin la sanitización adecuada. Aunque Progress Software no publicó detalles específicos del endpoint vulnerable (para dificultar la explotación), los investigadores de seguridad de Horizon3.ai y otros equipos realizaron análisis del parche y publicaron detalles técnicos a principios de julio de 2023.

La cadena de explotación

El exploit de Cl0p encadenaba múltiples pasos para pasar de SQL injection a ejecución de código:

PASO 1: SQL Injection (pre-auth)
        → Inyectar SQL en el endpoint vulnerable
        → Extraer tokens de sesión de administrador (sysadmin)
          de la tabla de sesiones de la base de datos

PASO 2: Autenticación como sysadmin
        → Usar el token extraído para autenticarse
          en la API administrativa de MOVEit

PASO 3: Deserialización
        → Acceder a un endpoint de la API que procesaba
          datos serializados
        → Inyectar un payload de deserialización malicioso
        → Conseguir ejecución de código en el servidor

PASO 4: Despliegue de LEMURLOOT
        → Escribir el webshell human2.aspx en el
          directorio web de MOVEit
        → Establecer persistencia para acceso futuro

PASO 5: Exfiltración de datos
        → Usar LEMURLOOT para listar y descargar
          archivos almacenados en MOVEit
        → Acceder al almacenamiento backend
          (Azure Blob, S3, filesystem local)

LEMURLOOT: el webshell personalizado

LEMURLOOT (nombre asignado por Mandiant) era el webshell que Cl0p desplegaba en los servidores MOVEit comprometidos. Sus características revelaban el nivel de preparación del grupo:

Nombre de archivo: human2.aspx, elegido para mimetizarse con los archivos legítimos de MOVEit Transfer (que incluía un human.aspx real).

Autenticación: El webshell solo respondía a peticiones HTTP que incluyeran una cabecera personalizada con un valor específico (una contraseña conocida solo por los operadores de Cl0p). Sin esta cabecera, devolvía un código 404 simulado, haciéndolo invisible para escaneos automatizados.

Funcionalidades:

Listar archivos y directorios almacenados en MOVEit Transfer.
Descargar archivos individuales o en masa.
Ejecutar consultas SQL contra la base de datos de MOVEit para obtener información sobre la organización, usuarios y configuración.
Crear y eliminar usuarios administrativos.
Extraer información sobre el almacenamiento backend configurado (Azure Blob Storage, S3, etc.).

Comunicación C2: LEMURLOOT se comunicaba con la infraestructura de Cl0p mediante HTTP, transmitiendo los datos exfiltrados en bloques cifrados.

Cl0p: anatomía de una operación industrial

La evolución de Cl0p

Cl0p (también escrito CL0P, asociado a TA505 y FIN11) es un grupo de cibercrimen activo desde al menos 2019. Su evolución refleja la maduración del ecosistema de ransomware:

2019-2020: Operaciones de ransomware tradicional. Cl0p desplegaba su ransomware (derivado de CryptoMix) después de acceder a redes corporativas, cifrando sistemas y demandando rescates.

2020-2021: Adopción de doble extorsión. Cl0p comenzó a exfiltrar datos antes de cifrar y amenazaba con publicarlos si la víctima no pagaba.

2020-2021 (Accellion FTA): Primera campaña de explotación masiva de un appliance MFT. Cl0p explotó vulnerabilidades zero-day en Accellion File Transfer Appliance, comprometiendo más de 100 organizaciones. El webshell desplegado se llamaba DEWMODE.

Enero 2023 (GoAnywhere MFT): Cl0p explotó CVE-2023-0669, un zero-day en Fortra GoAnywhere MFT. Más de 130 organizaciones comprometidas en 10 días.

Mayo 2023 (MOVEit Transfer): La operación de mayor escala, con más de 2.700 organizaciones afectadas.

El patrón MFT

La especialización de Cl0p en appliances de transferencia de archivos gestionada no fue accidental. Estos productos presentan un perfil de riesgo ideal para un grupo de extorsión:

Datos de alto valor. Los MFTs existen específicamente para transferir información sensible. El atacante no necesita buscar los datos valiosos: el producto los centraliza.

Exposición a Internet. Los MFTs deben ser accesibles desde fuera para cumplir su función. Esto los convierte en objetivos directamente alcanzables.

Número reducido de productos. El mercado de MFT está dominado por un puñado de vendors (Progress MOVEit, Fortra GoAnywhere, Cleo, Globalscape, Axway). Encontrar un zero-day en uno de ellos compromete a miles de organizaciones simultáneamente.

Datos en tránsito y en reposo. Los MFTs no solo transmiten datos, los almacenan temporalmente (y a veces permanentemente). El atacante accede tanto a transferencias recientes como a archivos históricos.

Volumen masivo con un solo exploit. A diferencia del ransomware tradicional (donde cada víctima requiere un proceso de compromiso individual), un zero-day en un MFT permite la explotación automatizada de miles de instancias.

La planificación operativa

La operación MOVEit reveló un nivel de planificación que diferenciaba a Cl0p de los operadores de ransomware oportunistas:

Descubrimiento del zero-day. Cl0p (o un proveedor de exploits asociado) descubrió CVE-2023-34362 antes de que fuera conocida públicamente. La inversión en investigación de vulnerabilidades en productos MFT sugiere una estrategia deliberada de especialización.

Desarrollo de LEMURLOOT. El webshell fue desarrollado específicamente para MOVEit Transfer, con funcionalidades adaptadas a la estructura de la aplicación. No era una herramienta genérica reutilizada.

Reconocimiento previo. Análisis forenses posteriores sugirieron que Cl0p había probado la vulnerabilidad contra instancias de MOVEit Transfer de forma limitada desde julio de 2021, más de un año antes de la explotación masiva. Sin embargo, no está claro si estas pruebas tempranas fueron del mismo grupo o de investigadores independientes.

Timing del Memorial Day. La elección del fin de semana festivo maximizaba la ventana de explotación y minimizaba la capacidad de respuesta de las víctimas.

Infraestructura de exfiltración. Cl0p tenía preparada la infraestructura para recibir y almacenar los datos exfiltrados de cientos de organizaciones simultáneamente.

El impacto: números y víctimas

La escala

Las cifras de la campaña MOVEit fueron sin precedentes para un solo evento de explotación:

Organizaciones afectadas: Más de 2.700 confirmadas.
Individuos cuyos datos fueron comprometidos: Más de 90 millones.
Coste estimado: Más de 10.000 millones de dólares en remediación, notificación a afectados, monitorización de crédito y costes legales.
Países afectados: Decenas, con concentración en EE.UU., Canadá, Reino Unido y Europa.

Víctimas notables

La lista de organizaciones afectadas incluía nombres de todos los sectores:

Gobierno: Departamento de Energía de EE.UU., Departamento de Salud y Servicios Humanos de EE.UU., Office of Personnel Management, gobiernos estatales (Luisiana, Oregon, Missouri, Illinois).

Salud: Johns Hopkins University y Johns Hopkins Health System, BORN Ontario (3,4 millones de registros de nacimiento), Maximus (11 millones de registros de programas gubernamentales de salud).

Finanzas: Deutsche Bank, ING Bank, Postbank, 1st Source Bank, PBI Research Services (afectando a Fidelity, Putnam, Genworth Financial).

Educación: National Student Clearinghouse (900 instituciones educativas), University of California, Colorado State University.

Tecnología y servicios: Ernst & Young, PricewaterhouseCoopers, Shell, BBC, British Airways, Siemens Energy, Schneider Electric, Sony (los datos aparecieron en filtraciones posteriores).

El modelo de extorsión pura

En la campaña MOVEit, Cl0p no desplegó ransomware. No cifró ningún sistema. Su operación fue exclusivamente de robo de datos y extorsión:

Explotación y exfiltración: Cl0p comprometió las instancias de MOVEit y descargó los archivos almacenados.
Notificación a las víctimas: Cl0p publicó un mensaje en su sitio de filtraciones (.onion) indicando que las organizaciones comprometidas debían contactarles antes de una fecha límite para "negociar" (pagar un rescate).
Publicación progresiva: Las organizaciones que no pagaban veían sus datos publicados gradualmente en el sitio de Cl0p. Los datos aparecían por lotes, con la amenaza de publicación completa si no se pagaba.
Negociación individual: Cl0p negociaba rescates individualmente con cada víctima. Los montos demandados variaban según el tamaño de la organización y la sensibilidad de los datos robados.

Este modelo tiene implicaciones importantes para la respuesta al incidente. En un ataque de ransomware tradicional, la remediación incluye la restauración de sistemas desde backups y la reconstrucción de infraestructura. En un ataque de extorsión pura, no hay nada técnico que restaurar: los datos ya han sido robados y la amenaza es permanente. La única remediación posible es la notificación a los afectados y la mitigación del daño reputacional y legal.

Contexto: la epidemia de vulnerabilidades MFT

El patrón Accellion-GoAnywhere-MOVEit

La campaña MOVEit fue el tercer ataque masivo de Cl0p contra un producto MFT en tres años:

Accellion FTA (diciembre 2020 y enero 2021):

Producto: Accellion File Transfer Appliance (producto legacy, end-of-life anunciado).
Vulnerabilidades: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104.
Webshell: DEWMODE.
Víctimas notables: Bombardier, Jones Day, Kroger, Shell, Singtel, Reserve Bank of New Zealand.
Resultado: Accellion aceleró la migración de clientes a su producto sucesor (Kiteworks).

Fortra GoAnywhere MFT (enero-febrero 2023):

Producto: Fortra (antes Linoma/HelpSystems) GoAnywhere MFT.
Vulnerabilidad: CVE-2023-0669 (deserialización pre-auth).
Víctimas: Más de 130 organizaciones en 10 días.
Víctimas notables: Community Health Systems, Hitachi Energy, Procter & Gamble, Toronto, Hatch Bank.

Progress MOVEit Transfer (mayo 2023):

La operación descrita en este artículo.

¿Por qué se repite el patrón?

La persistencia de este tipo de ataques refleja problemas estructurales en la categoría de productos MFT:

Base de código legacy. Muchos productos MFT tienen años o décadas de desarrollo incremental. MOVEit Transfer tiene su origen en los años 2000. Las aplicaciones legacy tienden a acumular deuda de seguridad: código escrito antes de que las prácticas de desarrollo seguro fueran comunes.

Modelo de negocio de appliance. Los productos MFT se venden como appliances "listos para usar" que las organizaciones despliegan en su DMZ. Este modelo desincentiva la transparencia del código (el cliente no puede auditar el código propietario) y la actualización frecuente (los appliances se parchean trimestralmente, no continuamente).

Auditoría insuficiente. A pesar de manejar datos altamente sensibles, los productos MFT no recibían el mismo nivel de escrutinio de seguridad que otros componentes de infraestructura. Bug bounty programs para productos MFT eran prácticamente inexistentes antes de 2023.

Inercia del mercado. Las organizaciones que usan MFT lo hacen porque lo necesitan para cumplir requisitos regulatorios. Cambiar de producto es costoso y complejo (requiere reconfigurar las conexiones con todos los socios). Esta inercia significa que los clientes toleran riesgos que no tolerarían en otros productos.

Vulnerabilidades posteriores en MOVEit

La publicación de CVE-2023-34362 atrajo la atención de investigadores de seguridad hacia MOVEit Transfer, resultando en el descubrimiento de vulnerabilidades adicionales:

CVE-2023-35036 (junio 2023): SQL injection adicional en la misma interfaz web. Descubierta por Progress Software durante su auditoría interna post-incidente.

CVE-2023-35708 (junio 2023): Otra SQL injection que podía llevar a escalada de privilegios. Descubierta por investigadores externos.

Ambas vulnerabilidades fueron parcheadas antes de que se documentara su explotación activa, pero su existencia confirmó que el código base de MOVEit tenía problemas sistémicos de validación de entrada, no fallos aislados.

Detección y respuesta

Indicadores de compromiso

Los indicadores más relevantes para la detección de la explotación de CVE-2023-34362 incluían:

Presencia del webshell:

Archivo: [MOVEit Install]/wwwroot/human2.aspx
Hash SHA256: e8012a15b6f6b404a33f293205b602ece486d01337b8b3ec331cd99ccadb562e

Logs de acceso IIS:

# Peticiones POST al endpoint vulnerable seguidas de acceso a human2.aspx
# con cabecera personalizada de autenticación del webshell
# User-Agent inusuales en peticiones a human2.aspx

Actividad de base de datos:

# Consultas SQL anómalas contra tablas de sesiones y tokens
# Creación o modificación de usuarios administradores
# Consultas masivas a tablas de metadatos de archivos

Transferencias de red:

# Exfiltración de datos desde el servidor MOVEit
# a IPs de la infraestructura de Cl0p
# Volúmenes de tráfico saliente inusuales

Mitigaciones

La respuesta recomendada por Progress Software y CISA incluía:

Parcheo inmediato a las versiones 2021.0.6, 2021.1.4, 2022.0.4, 2022.1.5 o 2023.0.1 (según la versión instalada).
Verificación de IOCs en logs de acceso IIS y sistema de archivos.
Eliminación de archivos no autorizados del directorio web de MOVEit.
Rotación de credenciales de todas las cuentas de servicio y administración de MOVEit.
Análisis forense del almacenamiento backend para determinar qué datos fueron accedidos o exfiltrados.
Aislamiento temporal del servidor MOVEit de Internet hasta completar la investigación.

Lecciones para la industria

Para organizaciones que usan MFT

Inventario y visibilidad. Muchas organizaciones afectadas no sabían que tenían instancias de MOVEit Transfer expuestas a Internet. Un inventario actualizado de activos, especialmente appliances web expuestos al exterior, es el primer paso de cualquier programa de seguridad.

Monitorización de transferencias. Los MFTs deben tener monitorización de comportamiento: volúmenes de transferencia anómalos, accesos en horarios inusuales, descargas masivas desde cuentas administrativas. La exfiltración de datos genera señales detectables si alguien está mirando.

Planes de contingencia para data theft. Si la organización usa un MFT, debe tener un plan de respuesta para el escenario "todos nuestros datos de transferencia han sido robados". Este plan incluye notificación a reguladores, comunicación con socios, monitorización de sitios de filtraciones, y procedimientos legales.

Para la industria de software

Seguridad en productos MFT. La triple victimización del mercado MFT (Accellion, GoAnywhere, MOVEit) demuestra que esta categoría de software necesita un nivel de escrutinio de seguridad proporcional a la sensibilidad de los datos que maneja. Bug bounty programs, auditorías de código regulares, y arquitecturas que minimicen el impacto de una SQL injection son requisitos, no opciones.

SQL injection en 2023. CVE-2023-34362 es una SQL injection. No un zero-day sofisticado en un componente criptográfico, no un fallo de memoria en código C. Una SQL injection, una clase de vulnerabilidad documentada desde finales de los años 90 y presente en el OWASP Top 10 desde su primera edición. Que un producto de software empresarial que maneja datos regulados tenga una SQL injection pre-autenticación en 2023 es un indicador de procesos de desarrollo insuficientes.

El legado de MOVEit

La campaña de Cl0p contra MOVEit Transfer marcó un punto de inflexión en la evolución del cibercrimen. Demostró que un grupo de extorsión con un solo zero-day en el producto correcto podía comprometer miles de organizaciones simultáneamente, sin necesidad de desplegar ransomware, sin necesidad de movimiento lateral, sin necesidad de interactuar manualmente con cada víctima.

El modelo de Cl0p era, en esencia, industrial: descubrir un zero-day en un producto con muchos clientes, explotarlo masivamente durante un fin de semana festivo, exfiltrar datos, y negociar rescates en paralelo con cientos de víctimas. Era más eficiente, más escalable y más difícil de contener que el ransomware tradicional.

Para las más de 90 millones de personas cuyos datos fueron comprometidos, la distinción entre ransomware y extorsión pura era irrelevante. Sus datos estaban en manos de criminales, publicados en sitios de filtraciones, disponibles para cualquier actor malicioso que quisiera usarlos.

La pregunta que MOVEit dejó abierta es cuántos otros productos de software empresarial, accesibles desde Internet y cargados de datos sensibles, tienen vulnerabilidades similares esperando ser descubiertas. La historia de Accellion, GoAnywhere y MOVEit sugiere que la respuesta no es tranquilizadora.

Técnicas MITRE ATT&CK referenciadas

T1190 T1059