Progress a averti les clients de MOVEit Transfer de restreindre tout accès HTTP à leurs environnements après que des informations sur une nouvelle faille d’injection SQL (SQLi) (suivie sous le nom de CVE-2023-35708) ont été partagées en ligne aujourd’hui.

La société a publié des correctifs de sécurité pour résoudre cette nouvelle vulnérabilité critique pour toutes les versions logicielles concernées.

« Progress a découvert une vulnérabilité dans MOVEit Transfer qui pourrait conduire à une élévation des privilèges et à un accès non autorisé potentiel à l’environnement », a déclaré Progress.

« Tous les clients de MOVEit Transfer doivent prendre des mesures et appliquer le correctif pour corriger la vulnérabilité CVE-2023-35708 du 15 juin découverte dans MOVEit Transfer. »

« Nous avons réduit le trafic HTTPs pour MOVEit Cloud à la lumière de la vulnérabilité récemment publiée et demandons à tous les clients de MOVEit Transfer de supprimer immédiatement leur trafic HTTP et HTTPs pour protéger leurs environnements pendant la finalisation du correctif », a ajouté la société.

Jusqu’à ce que les serveurs vulnérables soient corrigés, Progress recommande « fortement » de modifier les règles de pare-feu pour refuser le trafic HTTP et HTTPs vers MOVEit Transfer sur les ports 80 et 443 comme solution de contournement temporaire.

Même si les utilisateurs ne pourront plus se connecter à leurs comptes via l’interface utilisateur Web, les transferts de fichiers seront toujours disponibles puisque les protocoles SFTP et FTP/s continueront de fonctionner comme prévu.

Les administrateurs peuvent également accéder à MOVEit Transfer en se connectant au serveur Windows via un bureau à distance, puis en se rendant sur https://localhost/.

Bien que Progress n’ait pas partagé l’emplacement où les détails de cette nouvelle faille SQLi ont été partagés, au moins un chercheur en sécurité a partagé des informations sur Twitter sur ce qui ressemble à un code d’exploitation de preuve de concept pour un nouveau bug zero-day de MOVEit Transfer.

Le chercheur a déclaré à Breachtrace qu’ils pensaient que ce nouvel avertissement de Progress était lié au PoC sur lequel ils travaillaient.

« Je n’ai pas atteint le RCE. Cette vulnérabilité n’est pas un contournement d’une vulnérabilité précédente. Elle a son propre chemin d’attaque », a ajouté le chercheur.

Breachtrace a également été informé que la vulnérabilité avait déjà été divulguée à Progress avec l’aide du chercheur principal en sécurité de Huntress, John Hammond – la divulgation a probablement également provoqué l’avertissement de l’entreprise.

L’avertissement d’aujourd’hui fait suite à un autre avis publié vendredi qui a révélé des vulnérabilités critiques d’injection SQL suivies collectivement sous le nom de CVE-2023-35036 et découvertes à la suite d’un audit de sécurité lancé le 31 mai, lorsque Progress a publié des correctifs pour une faille (CVE-2023-34362) exploitée comme un zero-day par le gang de rançongiciels Clop dans des attaques de vol de données.

CVE-2023-35036 affecte toutes les versions de MOVEit Transfer et permet à des attaquants non authentifiés de compromettre des serveurs non corrigés et exposés à Internet pour voler des informations sur les clients.

Le gang de rançongiciels Clop a revendiqué la responsabilité des attaques CVE-2023-34362 et a déclaré à Breachtrace qu’ils auraient violé les serveurs MOVEit de « centaines d’entreprises ».

Kroll a également trouvé des preuves que Clop teste des exploits pour le MOVEit zero-day désormais corrigé depuis 2021 et des moyens d’exfiltrer des données volées sur des serveurs MOVEit compromis depuis au moins avril 2022.

Clop a été lié à d’autres campagnes à large impact ciblant les plates-formes de transfert de fichiers gérées, notamment la violation des serveurs Accellion FTA en décembre 2020, les attaques de transfert de fichiers géré SolarWinds Serv-U en 2021 et l’exploitation généralisée des serveurs GoAnywhere MFT en janvier 2023.

Les organisations concernées sont déjà extorquées
Mercredi, le gang Clop a commencé à extorquer des organisations touchées par les attaques de vol de données MOVEit en inscrivant leurs noms sur son site de fuite de données sur le dark web.

Cinq des sociétés cotées en bourse – la multinationale pétrolière et gazière britannique Shell, l’Université de Géorgie (UGA) et le système universitaire de Géorgie (USG), UnitedHealthcare Student Resources (UHSR), Heidelberger Druck et Landal Greenparks – ont depuis confirmé à Breachtrace que ils ont été touchés par les attentats.

Parmi les autres organisations qui ont déjà divulgué des violations de MOVEit Transfer, citons Zellis (et ses clients BBC, Boots, Aer Lingus et le HSE irlandais), Ofcam, le gouvernement de la Nouvelle-Écosse, l’État américain du Missouri, l’État américain de l’Illinois, l’Université de Rochester, l’American Board of Internal Medicine, BORN Ontario et Extreme Networks.

Aujourd’hui, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a également révélé que plusieurs agences fédérales américaines avaient été violées, selon un rapport de CNN. Deux entités du Département américain de l’énergie (DOE) ont également été compromises, selon Federal News Network.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *