Les auteurs de menaces tentent déjà d’exploiter une faille critique de contournement d’authentification dans Progress MOVEit Transfer, moins d’un jour après que le fournisseur l’a révélée.
MOVEit Transfer est une solution de transfert de fichiers géré (MFT) utilisée dans les environnements d’entreprise pour transférer en toute sécurité des fichiers entre partenaires commerciaux et clients à l’aide des protocoles SFTP, SCP et HTTP.
Le nouveau problème de sécurité a reçu l’identifiant CVE-2024-5806 et permet aux attaquants de contourner le processus d’authentification dans le module SFTP (Secure File Transfer Protocol), qui est responsable des opérations de transfert de fichiers via SSH.
Un attaquant exploitant cette faille pourrait accéder aux données sensibles stockées sur le serveur MOVEit Transfer, télécharger, supprimer ou modifier des fichiers, et intercepter ou altérer les transferts de fichiers.
Code d’exploitation disponible
La plateforme de surveillance des menaces Shadowserver Foundation a signalé avoir vu des tentatives d’exploitation peu de temps après que Progress a publié le bulletin sur CVE-2024-5806, de sorte que les pirates informatiques attaquent déjà les terminaux vulnérables.
Les analyses de réseau par recensement indiquent qu’il existe actuellement environ 2 700 instances MOVEit Transfer exposées à Internet, la plupart situées aux États-Unis, au Royaume-Uni, en Allemagne, au Canada et aux Pays-Bas.
Cependant, le pourcentage de ceux qui n’ont pas appliqué les mises à jour de sécurité et/ou les mesures d’atténuation proposées pour la faille tierce est inconnu.
Le rapport de ShadowServer sur les tentatives d’exploitation intervient après que la société de sécurité offensive watchTowr a publié des détails techniques sur la vulnérabilité, comment elle peut être exploitée et ce que les défenseurs doivent rechercher dans les journaux pour rechercher des signes d’exploitation.
watchTowr fournit également une analyse technique de la manière dont les attaquants peuvent manipuler les chemins de clé publique SSH pour forcer le serveur à s’authentifier à l’aide de chemins contrôlés par l’attaquant, exposant potentiellement les hachages Net-NTLMv2.
De plus, le code d’exploitation de validation de principe pour CVE-2024-5806 est déjà disponible publiquement auprès de watchTowr et de la chercheuse en vulnérabilités Sina Kheirkhah.
Avec ces informations, les attaques vont sûrement s’accélérer dans les jours suivants, il est donc crucial pour les organisations d’appliquer les mises à jour de sécurité et les mesures d’atténuation associées dès que possible.
Correctifs publiés pour CVE-2024-5806
Comme l’explique Progress dans le bulletin de sécurité, CVE-2024-5806 affecte les versions de produit suivantes:
- 2023.0.0 avant 2023.0.11
- 2023.1.0 avant 2023.1.6
- 2024.0.0 avant 2024.0.2
Des correctifs ont été mis à disposition dans MOVEit Transfer 2023.0.11, 2023.1.6 et 2024.0.2, disponibles sur le portail de la communauté Progress.
Les clients sans contrat de maintenance en cours doivent immédiatement contacter l’équipe de renouvellement ou le représentant du partenaire Progress pour résoudre le problème.
Les clients de MOVEit Cloud n’ont pas besoin de prendre de mesures pour atténuer la faille critique, car les correctifs ont déjà été déployés automatiquement.
En plus de la faille elle-même, Progress note qu’il a découvert une vulnérabilité distincte sur un composant tiers utilisé dans MOVEit Transfer, ce qui augmente les risques associés à CVE-2024-5806.
Pour atténuer ce défaut jusqu’à ce qu’un correctif du fournisseur tiers soit disponible, il est conseillé aux administrateurs système de bloquer l’accès RDP (Remote Desktop Protocol) aux serveurs MOVEit Transfer et de restreindre les connexions sortantes aux points de terminaison connus/approuvés.
Progress a également publié un bulletin de sécurité sur un problème de contournement d’authentification similaire, CVE-2024-5805, qui affecte MOVEit Gateway 2024.0.0.
MOVEit est largement utilisé dans l’environnement de l’entreprise et les pirates surveillent les vulnérabilités et les exploits disponibles sur le produit, d’autant plus que le ransomware Clop a tiré parti d’un jour zéro l’année dernière pour violer et ensuite extorquer des milliers d’organisations.