Les chercheurs en sécurité d’Horizon3 ont publié un code d’exploitation de preuve de concept (PoC) pour un bogue d’exécution de code à distance (RCE) dans la solution de transfert de fichiers géré (MFT) MOVEit Transfer abusée par le gang de rançongiciels Clop dans des attaques de vol de données.
Cette faille critique (identifiée CVE-2023-34362) est une vulnérabilité d’injection SQL qui permet à des attaquants non authentifiés d’accéder à des serveurs MOVEit non corrigés et d’exécuter du code arbitraire à distance.
Le 31 mai, quelques jours après que le gang de rançongiciels Clop a commencé à l’exploiter à grande échelle en tant que zero-day, Progress a publié des mises à jour de sécurité pour corriger le bogue et a conseillé à tous les clients de les appliquer immédiatement pour bloquer les tentatives d’exploitation.
Horizon3 a publié vendredi un exploit de preuve de concept (PoC) et une analyse technique de la vulnérabilité, ainsi qu’une liste d’indicateurs de compromission (IOC) que les défenseurs du réseau pourraient utiliser pour détecter l’exploitation sur des serveurs vulnérables.
« Ce POC abuse d’une injection SQL pour obtenir un jeton d’accès à l’API sysadmin, puis utilise cet accès pour abuser d’un appel de désérialisation afin d’obtenir l’exécution de code à distance », expliquent les chercheurs d’Horizon3.
« Ce POC doit atteindre un point de terminaison de fournisseur d’identité qui héberge les certificats RS256 appropriés utilisés pour falsifier des jetons d’utilisateur arbitraires – par défaut, ce POC utilise notre point de terminaison IDP hébergé dans AWS. »
Avec la sortie de cet exploit RCE PoC, davantage d’acteurs malveillants vont probablement le déployer rapidement dans des attaques ou créer leurs propres versions personnalisées pour cibler tous les serveurs non corrigés laissés exposés à l’accès à Internet.
Cependant, compte tenu de la large couverture médiatique des attaques exploitant la vulnérabilité, on s’attend à ce que le nombre de serveurs MOVEit Transfer non sécurisés sur Internet ait fortement diminué depuis que Clop a commencé à exploiter le bogue.
Zero-day entre les mains de Clop depuis 2021
Le gang de rançongiciels Clop a revendiqué la responsabilité des attaques de vol de données exploitant le CVE-2023-34362 MOVEit Transfer zero-day dans un message envoyé à Breachtrace, des attaques qui auraient touché « des centaines d’entreprises ».
Clop était également lié aux attaques de Microsoft, qui a attribué cette campagne de vol de données au groupe de piratage Lace Tempest, qui chevauche l’activité FIN11 et TA505.
Selon un rapport de Kroll, des preuves suggèrent que Clop recherche activement des opportunités pour exploiter la vulnérabilité du jour zéro MOVEit corrigée depuis 2021. Ils recherchent également des méthodes pour extraire des données de serveurs MOVEit compromis depuis au moins avril 2022.
La liste des organisations qui ont divulgué des violations de données à la suite de ces attaques comprend, entre autres, la multinationale britannique EY, le système de santé publique Irish Health Service Executive (HSE), le fournisseur britannique de solutions de paie et de RH Zellis et certains de ses clients ( c’est-à-dire la compagnie aérienne britannique British Airways, la compagnie aérienne irlandaise Aer Lingus et le ministère de l’Éducation du Minnesota).
Connu pour son historique d’orchestration de campagnes de vol de données, ce groupe de cybercriminalité a ciblé les vulnérabilités de plusieurs plates-formes de transfert de fichiers gérés au cours des dernières années.
Les exemples notables incluent la violation zero-day des serveurs Accellion FTA en décembre 2020, les attaques de transfert de fichiers géré SolarWinds Serv-U de 2021 et l’exploitation d’un GoAnywhere MFT zero-day dans des attaques généralisées en janvier 2023.
Vendredi, Progress a corrigé et averti les clients des vulnérabilités critiques d’injection SQL nouvellement découvertes dans MOVEit Transfer permettant à des attaquants non authentifiés de voler des informations dans les bases de données des clients.