Progress Software a averti aujourd’hui ses clients des vulnérabilités critiques d’injection SQL récemment découvertes dans sa solution de transfert de fichiers géré (MFT) MOVEit Transfer qui peuvent permettre aux attaquants de voler des informations dans les bases de données des clients.
Ces bogues de sécurité ont été découverts avec l’aide de la société de cybersécurité Huntress à la suite d’examens de code détaillés initiés par Progress le 31 mai, lorsqu’il a corrigé une faille exploitée comme un jour zéro par le gang de rançongiciels Clop dans des attaques de vol de données.
Ils affectent toutes les versions de MOVEit Transfer et permettent à des attaquants non authentifiés de compromettre des serveurs exposés à Internet pour modifier ou extraire des informations sur les clients.
« Un attaquant pourrait soumettre une charge utile spécialement conçue à un point de terminaison d’application MOVEit Transfer, ce qui pourrait entraîner la modification et la divulgation du contenu de la base de données MOVEit », déclare Progress dans un avis publié aujourd’hui.
« Tous les clients de MOVEit Transfer doivent appliquer le nouveau correctif, publié le 9 juin 2023. L’enquête est en cours, mais actuellement, nous n’avons pas vu d’indications que ces vulnérabilités nouvellement découvertes aient été exploitées », a ajouté la société.
La société affirme que tous les clusters MOVEit Cloud ont déjà été corrigés contre ces nouvelles vulnérabilités pour les protéger contre les tentatives d’attaque potentielles.
Vous trouverez ci-dessous la liste actuelle des versions de MOVEit Transfer pour lesquelles un correctif est disponible pour ces nouvelles vulnérabilités :
MOVEit zero-day entre les mains de Clop depuis 2021
Le gang de rançongiciels Clop a revendiqué la responsabilité d’avoir ciblé le transfert zero-day CVE-2023-34362 MOVEit dans un message envoyé à Breachtrace au cours du week-end, ce qui a conduit à une série d’attaques de vol de données qui auraient affecté « des centaines d’entreprises ».
Bien que la crédibilité de leurs déclarations reste incertaine, l’admission du groupe s’aligne sur les conclusions de Microsoft, qui a lié cette campagne au groupe de piratage qu’il suit sous le nom de Lace Tempest, qui chevauche les activités de TA505 et FIN11.
Les experts en sécurité de Kroll ont également trouvé des preuves que Clop cherchait des moyens d’exploiter le MOVEit zero-day désormais corrigé depuis 2021, ainsi que des méthodes pour extraire les données des serveurs MOVEit compromis depuis au moins avril 2022.
Le groupe cybercriminel Clop a l’habitude d’orchestrer des campagnes de vol de données et d’exploiter les vulnérabilités de diverses plates-formes de transfert de fichiers gérées.
Ces exploits comprenaient la violation zero-day des serveurs Accellion FTA en décembre 2020, les attaques de transfert de fichiers géré SolarWinds Serv-U en 2021 et l’exploitation généralisée d’un GoAnywhere MFT zero-day en janvier 2023.
Depuis que les attaques de vol de données MOVEit de Clop ont été divulguées, les organisations concernées ont lentement commencé à se manifester pour reconnaître les violations de données et les incidents de sécurité.
Par exemple, le fournisseur britannique de solutions de paie et de ressources humaines Zellis a déclaré à Breachtrace qu’il avait subi une violation de données en raison de ces attaques, un incident qui pourrait probablement avoir un impact sur certains de ses clients.
Certains de ses clients concernés incluent British Airways (la compagnie aérienne du Royaume-Uni), Aer Lingus (la compagnie aérienne irlandaise) et le ministère de l’Éducation du Minnesota.
Pour aggraver encore la situation, Clop a récemment menacé les organisations concernées, les exhortant à engager des négociations de rançon pour empêcher la fuite publique de leurs données.