Les pirates exploitent activement une vulnérabilité zero-day dans le logiciel de transfert de fichiers MOVEit Transfer pour voler des données aux organisations.

MOVEit Transfer est une solution de transfert de fichiers géré (MFT) développée par Ipswitch, une filiale de Progress Software Corporation, basée aux États-Unis, qui permet à l’entreprise de transférer en toute sécurité des fichiers entre partenaires commerciaux et clients à l’aide de téléchargements basés sur SFTP, SCP et HTTP.

Progress MOVEit Transfer est proposé sous la forme d’une solution sur site gérée par le client et d’une plateforme cloud SaaS gérée par le développeur.

Selon Progress, MOVEit est utilisé par des milliers d’entreprises, dont Chase, Disney, GEICO et MLB, ainsi que par 1 700 éditeurs de logiciels et 3,5 millions de développeurs.

Exploitation en masse du jour zéro pour voler des données
Breachtrace a appris que les acteurs de la menace exploitaient un jour zéro dans le logiciel MOVEit MFT pour effectuer un téléchargement massif de données à partir d’organisations.

On ne sait pas quand l’exploitation s’est produite et quels acteurs de la menace sont à l’origine des attaques, mais Breachtrace a été informé que de nombreuses organisations ont été piratées et des données volées.

Hier, Progress a publié un avis de sécurité avertissant les clients d’une vulnérabilité « critique » dans MOVEit MFT, offrant des atténuations pendant qu’un correctif est testé.

« Progress a découvert une vulnérabilité dans MOVEit Transfer qui pourrait entraîner une élévation des privilèges et un accès non autorisé potentiel à l’environnement », lit-on dans un avis de sécurité de Progress.

« Si vous êtes un client MOVEit Transfer, il est extrêmement important que vous preniez des mesures immédiates comme indiqué ci-dessous afin d’aider à protéger votre environnement MOVEit Transfer, pendant que notre équipe produit un correctif. »

Comme un correctif n’est pas disponible pendant qu’il est en cours de test, Progress a publié des mesures d’atténuation que les administrateurs MOVEit peuvent utiliser pour sécuriser leurs installations.

Pour empêcher l’exploitation, les développeurs avertissent les administrateurs de bloquer le trafic externe vers les ports 80 et 445 sur le serveur MOVEit.

Progress avertit que le blocage de ces ports empêchera l’accès externe à l’interface utilisateur Web, empêchera certaines tâches MOVEit Automation de fonctionner, bloquera les API et empêchera le plug-in Outlook MOVEit de fonctionner.

Cependant, les protocoles SFTP et FTP/s peuvent continuer à être utilisés pour transférer des fichiers.

Les développeurs avertissent également les administrateurs de vérifier le dossier ‘c:\MOVEit Transfer\wwwroot\’ pour les fichiers inattendus, y compris les sauvegardes ou les téléchargements de fichiers volumineux.

Sur la base des informations apprises par Breachtrace , des téléchargements volumineux ou des sauvegardes inattendues sont probablement des indicateurs que les acteurs de la menace ont volé des données ou sont en train de le faire.

Aucune information sur la vulnérabilité zero-day n’a été publiée. Cependant, en fonction des ports bloqués et de l’emplacement spécifié pour rechercher des fichiers inhabituels, la faille est probablement une vulnérabilité Web.

Jusqu’à ce qu’un correctif soit publié, il est fortement conseillé aux organisations d’arrêter tous les transferts MOVEit et d’effectuer une enquête approfondie pour trouver un compromis avant d’appliquer le correctif et de réactiver le serveur.

L’extorsion n’a pas commencé
Bien que Progress n’ait pas déclaré que la vulnérabilité était activement exploitée, Breachtrace a connaissance de nombreuses organisations qui se sont fait voler des données en utilisant le jour zéro.

À l’heure actuelle, les acteurs de la menace n’ont pas commencé à extorquer des victimes, il est donc difficile de savoir qui est derrière les attaques.

Cependant, l’exploitation est très similaire à l’exploitation massive de janvier 2023 d’un serveur GoAnywhere MFT zero-day et à l’exploitation zero-day de décembre 2020 des serveurs Accellion FTA.

Ces deux produits sont des plates-formes de transfert de fichiers gérées qui ont été largement exploitées par le gang de rançongiciels Clop pour voler des données et extorquer des organisations.

Breachtrace a contacté Progress pour en savoir plus sur les attaques, mais aucune réponse n’était disponible dans l’immédiat.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *