Progress Software a révélé jeudi une troisième vulnérabilité affectant son application MOVEit Transfer, alors que le gang de cybercriminalité Cl0p a déployé des tactiques d’extorsion contre les entreprises concernées.
La nouvelle faille, à laquelle un identifiant CVE n’a pas encore été attribué, concerne également une vulnérabilité d’injection SQL qui « pourrait conduire à une élévation des privilèges et à un accès non autorisé potentiel à l’environnement ».
La société exhorte tous ses clients à désactiver tout le trafic HTTP et HTTPs vers MOVEit Transfer sur les ports 80 et 443 pour protéger leurs environnements pendant qu’un correctif est en cours de préparation pour remédier à la faiblesse.
La révélation intervient une semaine après que Progress a divulgué un autre ensemble de vulnérabilités d’injection SQL (CVE-2023-35036) qui, selon lui, pourraient être militarisées pour accéder au contenu de la base de données de l’application.
Les vulnérabilités rejoignent CVE-2023-34362, qui a été exploitée comme un jour zéro par le gang de rançongiciels Clop dans des attaques de vol de données. Kroll a déclaré avoir trouvé des preuves que le groupe, surnommé Lace Tempest par Microsoft, avait testé l’exploit dès juillet 2021.
Le développement coïncide également avec les acteurs Cl0p listant les noms de 27 entreprises qui, selon eux, ont été piratées à l’aide de la faille MOVEit Transfer sur son portail de fuite darknet. Selon un rapport de CNN, cela inclut également plusieurs agences fédérales américaines telles que le ministère de l’Énergie.
« Le nombre d’organisations potentiellement piratées jusqu’à présent est nettement supérieur au nombre initial nommé dans le cadre de la dernière exploitation MFT de Clop : la campagne Fortra GoAnywhere MFT », a déclaré ReliaQuest.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Rejoindre la séance
Censys, une plate-forme de recherche Web permettant d’évaluer la surface d’attaque des appareils connectés à Internet, a déclaré que près de 31 % des plus de 1 400 hôtes exposés exécutant MOVEit appartiennent au secteur des services financiers, 16 % aux soins de santé, 9 % aux technologies de l’information et 8 % dans les secteurs gouvernementaux et militaires. Près de 80% des serveurs sont basés aux États-Unis
Selon l’analyse de Kaspersky de 97 familles propagées via le modèle commercial de logiciels malveillants en tant que service (MaaS) entre 2015 et 2022, les ransomwares sont en tête avec une part de 58 %, suivis des voleurs d’informations (24 %) et des botnets, chargeurs et portes dérobées ( 18 %).
« L’argent est la racine de tous les maux, y compris la cybercriminalité », a déclaré la société russe de cybersécurité, ajoutant que les schémas MaaS permettent à des attaquants moins compétents sur le plan technique d’entrer dans la mêlée, abaissant ainsi la barre pour mener de telles attaques.
