Progress Software ha publicado actualizaciones para corregir dos vulnerabilidades en MOVEit Automation. Una de ellas es el bypass de autenticación crítico CVE-2026-4670 (CVSS 9.8), que permite obtener acceso no autorizado al sistema y control administrativo; la segunda es un fallo de validación de entrada de datos CVE-2026-5174 (CVSS 7.7), que conduce a la elevación de privilegios. Se ven afectados los despliegues del servidor de esta solución de transferencia de archivos gestionada en entornos corporativos; no existen soluciones alternativas, por lo que las organizaciones deben aplicar los parches lo antes posible para reducir el riesgo de compromiso y fuga de datos.
Detalles técnicos de las vulnerabilidades
MOVEit Automation (antes Central) es una solución de servidor para transferencia de archivos gestionada (MFT) que automatiza y programa el movimiento de datos entre sistemas sin necesidad de scripts propios. Esto lo convierte en un componente altamente crítico de la infraestructura: a través de él pasan grandes volúmenes de datos confidenciales y se ejecutan procesos de integración.
Las vulnerabilidades afectan a las versiones de MOVEit Automation aún soportadas por el proveedor (las versiones concretas se enumeran en el advisory oficial de Progress y no se incluyen en el material original). Según la descripción del proveedor, ambos fallos se manifiestan a través de las interfaces del servicio en el backend command port:
- CVE-2026-4670, CVSS 9.8: vulnerabilidad crítica de bypass de autenticación. Una lógica incorrecta de comprobación de autenticidad en el lado del servidor permite a un atacante interactuar con la interfaz backend como si ya se hubiera autenticado. Desde el punto de vista del modelo de amenazas, esto equivale a obtener acceso no autorizado a una API de alto privilegio.
- CVE-2026-5174, CVSS 7.7: vulnerabilidad de «validación incorrecta de entrada de datos», que puede provocar elevación de privilegios. En determinadas condiciones, los parámetros procesados de forma incorrecta por el servicio permiten a un usuario local o autenticado ampliar sus permisos a un nivel superior.
En el advisory de Progress se subraya por separado que la combinación de estas vulnerabilidades en las interfaces backend puede dar lugar a un bypass de autenticación seguido de elevación de privilegios, lo que finalmente proporciona al atacante:
- acceso no autorizado al sistema MOVEit Automation;
- control administrativo sobre la instalación;
- acceso a los datos y su posible divulgación.
Las personas investigadoras de Airbus SecLab — Anaïs Gantet, Delphine Gourdou, Quentin Liddell y Matteo Ricordeau — recibieron reconocimiento oficial por el descubrimiento y la divulgación responsable de ambas vulnerabilidades. El proveedor indica que no existen soluciones alternativas viables: la mitigación del riesgo requiere necesariamente la instalación de las actualizaciones.
En el momento de la publicación del advisory no se ha informado de explotación confirmada de estas vulnerabilidades «en la naturaleza». No obstante, ambas entradas ya están (o estarán) presentes en la base NVD, lo que permite seguir su ciclo de vida y las actualizaciones de las evaluaciones de riesgo: CVE-2026-4670 en NVD, CVE-2026-5174 en NVD.
Contexto de amenazas: por qué MOVEit y los sistemas MFT
Los sistemas de transferencia de archivos gestionada, entre los que se incluye MOVEit Automation, ocupan una posición única: al mismo tiempo:
- están conectados a aplicaciones de negocio y almacenes de datos de importancia crítica;
- procesan y transfieren archivos sensibles (datos financieros, datos personales, informes, volcados desde ERP/CRM);
- a menudo cuentan con amplios permisos de red para acceder a sistemas internos y externos.
Por esta razón, vulnerabilidades anteriores en otro producto de la misma familia — MOVEit Transfer — ya habían atraído la atención de grupos de ransomware, incluida la agrupación Cl0p, que explotó estos fallos para acceder a los datos de organizaciones. El material original indica explícitamente que vulnerabilidades anteriores en MOVEit Transfer fueron utilizadas por grupos de ransomware como Cl0p, lo que demuestra el interés sostenido de los atacantes en este proveedor y en esta clase de soluciones.
En esencia, las vulnerabilidades descritas en el advisory encajan en la técnica MITRE ATT&CK Exploit Public-Facing Application (T1190), si las interfaces backend resultan accesibles desde redes no confiables. Incluso si nominalmente se consideran «internas», en la práctica los errores de segmentación, acceso VPN o configuración de cortafuegos hacen que estas puertas resulten alcanzables con frecuencia por parte de un atacante tras una intrusión inicial en la red.
Evaluación del impacto en las organizaciones
Las organizaciones con mayor riesgo son aquellas para las que MOVEit Automation es un nodo central de integración e intercambio de archivos entre:
- sistemas internos (ERP, CRM, sistemas contables, almacenes de datos);
- contrapartes y servicios externos (bancos, proveedores, socios);
- plataformas en la nube y centros de datos.
Posibles consecuencias si no se actualiza a tiempo:
- Compromiso de datos confidenciales. MOVEit Automation trabaja con exportaciones ya generadas desde los sistemas de negocio, que a menudo contienen datos agregados, estructurados y previamente filtrados; es decir, información especialmente valiosa para un atacante.
- Control total sobre el sistema de automatización. El bypass de autenticación junto con la elevación de privilegios pueden permitir a un adversario modificar tareas, redirigir flujos de datos e introducir archivos maliciosos o backdoors en la cadena.
- Expansión del ataque dentro de la infraestructura. A través de credenciales, claves y conexiones almacenadas en la configuración de MOVEit Automation, el atacante puede desplazarse por la red y acceder a otros sistemas.
- Riesgos regulatorios y legales. Dado que los sistemas MFT se utilizan a menudo para el intercambio de datos personales e información financiera, una fuga a través de este nodo puede implicar notificaciones a reguladores, sanciones económicas y obligaciones de comunicación con clientes y socios.
Aun cuando la instalación de MOVEit Automation no sea accesible directamente desde internet, el riesgo sigue siendo significativo: si se compromete cualquier otro nodo de la red, el atacante puede intentar utilizar las interfaces backend vulnerables para una rápida elevación de privilegios y acceso a los datos.
Recomendaciones prácticas para reducir el riesgo
1. Actualización inmediata y priorización
- Identifique todas las instancias de MOVEit Automation en la infraestructura (incluidas las de prueba y las de respaldo), utilizando el inventario, la CMDB y análisis de red.
- Compare las versiones instaladas con la lista de versiones vulnerables indicada en el advisory de Progress (véase también las entradas en NVD: CVE-2026-4670, CVE-2026-5174).
- Planifique la actualización como prioridad máxima en la gestión de vulnerabilidades: el fallo crítico de bypass de autenticación (CVSS 9.8) justifica un parcheo de emergencia con ventanas mínimas de pruebas.
2. Limitación del acceso de red al backend command port
Incluso con los parches instalados, conviene minimizar la exposición de las interfaces de alto privilegio:
- Identifique los puertos e interfaces a través de los cuales se realiza el acceso backend a MOVEit Automation (según la documentación del producto y la configuración efectiva).
- Restrinja el acceso a ellos únicamente desde los hosts administrativos y servicios necesarios mediante listas de control de acceso de red y cortafuegos.
- Excluya el acceso a estas interfaces desde segmentos de usuarios, pools VPN de propósito general y, especialmente, desde zonas accesibles desde internet.
3. Refuerzo de la monitorización y búsqueda de posibles signos de explotación
Dado que no hay información confirmada sobre explotación activa, es razonable revisar de forma proactiva los registros y la telemetría:
- Analice los registros de autenticación de MOVEit Automation en busca de:
- inicios de sesión exitosos sospechosos desde orígenes inusuales;
- intentos reiterados de acceso a funciones administrativas;
- creación de nuevas cuentas con altos privilegios o cambios de rol en cuentas existentes.
- Revise el historial de tareas y scripts de automatización para detectar cambios inesperados, aparición de nuevas tareas o reconfiguración de sistemas de destino.
- Correlacione los registros de red (firewall, proxy, sistemas de detección de intrusiones) con los períodos en los que las versiones vulnerables estuvieron desplegadas, para identificar accesos anómalos a las interfaces backend.
4. Medidas compensatorias temporales hasta la instalación de parches
Si la actualización inmediata no es posible por motivos operativos, conviene aplicar medidas parciales de reducción de riesgo, teniendo claro que no sustituyen a la corrección de las vulnerabilidades:
- Siempre que sea posible, limite temporalmente u ocasione la desactivación de integraciones externas que utilicen el backend command port, manteniendo solo las estrictamente necesarias para la continuidad del negocio.
- Traslade las instancias de MOVEit Automation a un segmento de red lo más aislado posible, minimizando el número de rutas y zonas de confianza.
- Refuerce el control de acceso a las cuentas administrativas utilizadas para gestionar MOVEit Automation (autenticación multifactor, tokens temporales, procedimientos adicionales de confirmación para operaciones sensibles).
La acción clave para todas las organizaciones que utilizan MOVEit Automation es instalar en la próxima ventana de mantenimiento las actualizaciones disponibles que corrigen CVE-2026-4670 y CVE-2026-5174, y al mismo tiempo revisar la exposición de red de las interfaces backend del servicio, limitándola solo a las fuentes estrictamente necesarias.
