La CISA a ajouté un bogue de sécurité activement exploité dans la solution de transfert de fichiers géré (MFT) Progress MOVEit Transfer à sa liste de vulnérabilités exploitées connues, ordonnant aux agences fédérales américaines de corriger leurs systèmes d’ici le 23 juin.

La faille critique (identifiée CVE-2023-34362) est une vulnérabilité d’injection SQL qui permet à des attaquants distants non authentifiés d’accéder à la base de données de MOVEit Transfer et d’exécuter du code arbitraire.

Selon la directive opérationnelle contraignante de novembre 2022 (BOD 22-01), les agences du pouvoir exécutif civil fédéral (FCEB) doivent corriger cette vulnérabilité de sécurité une fois ajoutée au catalogue des vulnérabilités exploitées connues de la CISA.

Bien que BOD 22-01 se concentre principalement sur les agences fédérales, il est fortement recommandé aux entreprises privées de donner la priorité à la sécurisation de leurs systèmes contre cette faille MOVEit Transfer activement exploitée.

Progress conseille à tous les clients de patcher leurs instances MOVEit Transfer pour bloquer les tentatives d’exploitation et les violations potentielles.

Ceux qui ne peuvent pas appliquer immédiatement les mises à jour de sécurité peuvent également désactiver tout le trafic HTTP et HTTPS vers leurs environnements MOVEit Transfer pour éloigner la surface d’attaque.

Vous pouvez trouver la liste des versions de MOVEit Transfer concernées et des versions corrigées dans le tableau intégré ci-dessous.

Actuellement, il existe plus de 2 500 serveurs MOVEit Transfer sur Internet, dont la plupart se trouvent aux États-Unis.

Les acteurs de la menace exploitent CVE-2023-34362 en tant que vulnérabilité zero-day depuis au moins le 27 mai, selon Mandiant CTO Charles Carmakal, quatre jours avant que Progress ne le divulgue publiquement et ne commence à tester des correctifs de sécurité pour les systèmes vulnérables.

« L’exploitation massive et le vol de données à grande échelle se sont produits ces derniers jours », a déclaré Carmakal à Breachtrace.

« Bien que Mandiant ne connaisse pas encore la motivation de l’auteur de la menace, les organisations doivent se préparer à une éventuelle extorsion et à la publication des données volées. »

Exploité pour déposer des shells Web et voler des données
Breachtrace a été informé que plusieurs organisations ont déjà été violées et leurs données volées à l’aide d’un shell Web récemment découvert (surnommé LemurLoot par Mandiant).

LemurLoot aide les attaquants à récolter les informations du compte Azure Blob Storage, y compris les informations d’identification qui peuvent être utilisées pour exfiltrer les données des conteneurs Azure Blob Storage des victimes.

Mandiant a également trouvé des liens possibles entre les attaques ciblant les serveurs MOVEit Transfer et le groupe de menaces à motivation financière FIN11, connu pour ses tentatives d’extorsion de données via le site de fuite du gang de rançongiciels Clop suite à l’exploitation de zero-days dans d’autres systèmes de transfert de fichiers.

Pour l’instant, l’identité des agresseurs reste inconnue, car ils n’ont pas encore commencé à extorquer leurs victimes.

Néanmoins, la méthode d’exploitation présente une ressemblance remarquable avec les instances précédentes, notamment l’exploitation zero-day des serveurs Accellion FTA en décembre 2020 et l’exploitation massive d’un GoAnywhere MFT zero-day en janvier 2023.

GoAnywhere MFT et Accellion FTA sont des plates-formes de transfert de fichiers gérées qui ont été ciblées par le célèbre gang de rançongiciels Clop pour voler des données et extorquer des victimes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *