✨︎ Resumen (TL;DR):
- Progress Software urge a instalar actualizaciones para dos vulnerabilidades en MOVEit Automation.
- La falla principal expone a más de 1,400 servidores a un secuestro de sistema sin requerir contraseñas.
- Si no se aplica el parche, atacantes pueden moverse libremente por la red corporativa para robar información.
Progress Software emitió una alerta para parchar dos vulnerabilidades recién descubiertas en su plataforma MOVEit Automation. La falla principal, identificada como CVE-2026-4670, cuenta con un nivel de riesgo de 9.8 sobre 10 y permite a un atacante remoto eludir la autenticación para tomar el control administrativo del servidor sin el uso de contraseñas.
MOVEit Automation es una herramienta empresarial que orquesta y automatiza transferencias seguras de archivos entre servidores, plataformas en la nube y proveedores externos.
El hallazgo fue reportado por Anaïs Gantet, Delphine Gourdou, Quentin Liddell y Matteo Ricordeau, equipo de investigadores de Airbus SecLab. Al rastrear el impacto, detectaron que este error puede conectarse con una segunda falla de escalamiento de privilegios (CVE-2026-5174).
“El kill chain natural es 4670 → punto de apoyo no autenticado → 5174 → acceso elevado dentro del producto → movimiento lateral”, detalló la firma de ciberseguridad PwnDefend en un análisis publicado junto a la divulgación técnica.
Daniel Card, consultor de PwnDefend, descubrió mediante un escaneo en Shodan que más de 1,400 instancias de MOVEit Automation operan actualmente expuestas a internet.
La agencia estadounidense CISA etiquetó la falla como de “Impacto Técnico Total”. Esto confirma que la creación de herramientas para una explotación masiva automatizada es una amenaza a corto plazo.
Versiones afectadas y rutas de acción
Progress Software aclaró que instalar la actualización mediante el paquete completo es la única forma de mitigar el problema, y descartó la existencia de soluciones provisionales. Las versiones comprometidas son:
- 2025.1.4 y anteriores (actualizar a 2025.1.5).
- 2025.0.8 y anteriores (actualizar a 2025.0.9).
- 2024.1.7 y todas las versiones previas (actualizar a 2024.1.8).
La firma Beazley Security advirtió que las organizaciones incapaces de aplicar los parches hoy mismo deben bloquear de inmediato el acceso de MOVEit desde internet. Los equipos técnicos también deben auditar los registros del sistema en búsqueda de cambios de privilegios inesperados.
Esta urgencia operativa responde directamente al hackeo masivo de MOVEit Transfer ocurrido en 2023. En ese incidente, el grupo de ransomware Cl0p ejecutó una inyección SQL de día cero para robar bases de datos de más de 2,500 organizaciones, lo que afectó a unos 96 millones de individuos en todo el mundo.
