Une faille critique dans l’application de transfert de fichiers géré MOVEit Transfer de Progress Software a fait l’objet d’une exploitation généralisée dans la nature pour prendre le contrôle de systèmes vulnérables.
La lacune, qui se voit attribuer l’identifiant CVE CVE-2023-34362, concerne une grave vulnérabilité d’injection SQL qui pourrait entraîner une élévation des privilèges et un accès non autorisé potentiel à l’environnement.
« Une vulnérabilité d’injection SQL a été découverte dans l’application Web MOVEit Transfer qui pourrait permettre à un attaquant non authentifié d’obtenir un accès non autorisé à la base de données de MOVEit Transfer », a déclaré la société.
« Selon le moteur de base de données utilisé (MySQL, Microsoft SQL Server ou Azure SQL), un attaquant peut être en mesure de déduire des informations sur la structure et le contenu de la base de données en plus d’exécuter des instructions SQL qui modifient ou suppriment des éléments de la base de données. »
Des correctifs pour le bogue ont été mis à disposition par la société basée au Massachusetts, qui possède également Telerik, dans les versions suivantes : 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4 ), 2022.1.5 (14.1.5) et 2023.0.1 (15.0.1).
Le développement a été signalé pour la première fois par Bleeping Computer. Selon Huntress et Rapid7, environ 2 500 instances de MOVEit Transfer ont été exposées à l’Internet public au 31 mai 2023, la majorité d’entre elles se trouvant aux États-Unis.
Les tentatives d’exploitation réussies aboutissent au déploiement d’un shell Web, un fichier nommé « human2.aspx » dans le répertoire « wwwroot » qui est créé via un script avec un nom de fichier aléatoire, pour « exfiltrer diverses données stockées par le service MOVEit local ».
Le shell Web est également conçu pour ajouter de nouvelles sessions de compte d’utilisateur administrateur avec le nom « Service de bilan de santé » dans le but probable d’éviter la détection, un analyse de la chaîne d’attaque a révélé.
La société de renseignements sur les menaces GreyNoise a déclaré avoir « observé une activité d’analyse de la page de connexion de MOVEit Transfer située sur /human.aspx dès le 3 mars 2023 », ajoutant que cinq adresses IP différentes ont été détectées « tentant de découvrir l’emplacement des installations MOVEit ». «
« Bien que nous ne connaissions pas les spécificités du groupe à l’origine des attaques Zero Day impliquant MOVEit, cela souligne une tendance inquiétante des acteurs de la menace ciblant les solutions de transfert de fichiers », a déclaré Satnam Narang, ingénieur de recherche senior chez Tenable.
Le développement a incité la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis à émettre une alerte, exhortant les utilisateurs et les organisations à suivre les étapes d’atténuation pour se protéger contre toute activité malveillante.
Il est également conseillé d’isoler les serveurs en bloquant le trafic entrant et sortant et d’inspecter les environnements à la recherche d’éventuels indicateurs de compromission (IoC) et, le cas échéant, de les supprimer avant d’appliquer les correctifs.
« S’il s’avère à nouveau qu’il s’agit d’un groupe de ransomwares, ce sera le deuxième jour zéro MFT d’entreprise en un an, cl0p s’est récemment déchaîné avec GoAnywhere », a déclaré le chercheur en sécurité Kevin Beaumont.
Défaut de transfert MOVEit ajouté au catalogue KEV
Vendredi, la CISA a placé la faille d’injection SQL affectant Progress MOVEit Transfer dans son catalogue de vulnérabilités exploitées connues (KEV), recommandant aux agences fédérales d’appliquer les correctifs fournis par le fournisseur d’ici le 23 juin 2023.
La société de gestion de surface d’attaque Censys a découvert plus de 3 000 hôtes exposés utilisant le service MOVEit Transfer, dont plus de 60 appartiennent aux gouvernements fédéral et étatique des États-Unis.
Mandiant, qui suit l’activité sous le nom non catégorisé UNC4857, a déclaré que les attaques opportunistes ont ciblé un « large éventail d’industries » basées au Canada, en Inde, aux États-Unis, en Italie, au Pakistan et en Allemagne.
La filiale de Google Cloud a déclaré qu’elle était « au courant de plusieurs cas où de gros volumes de fichiers ont été volés sur les systèmes de transfert MOVEit des victimes », ajoutant que le shell Web (surnommé LEMURLOOT) est également capable de voler des informations Azure Storage Blob.
Alors que les motivations exactes derrière l’exploitation de masse sont actuellement inconnues, il n’est pas rare que des acteurs cybercriminels monétisent des données volées via des opérations d’extorsion ou les proposent à la vente sur des forums clandestins.
C’est également le dernier effort des acteurs de la menace pour cibler les systèmes de transfert de fichiers d’entreprise ces dernières années, qui se sont révélés être un moyen lucratif de siphonner les données critiques de plusieurs victimes à la fois.
« Si le but de cette opération est l’extorsion, nous prévoyons que les organisations de victimes pourraient recevoir des e-mails d’extorsion dans les prochains jours ou semaines », ont déclaré les chercheurs de Mandiant.
(L’histoire a été mise à jour après la publication pour refléter l’identifiant CVE et l’inclusion de la faille dans le catalogue KEV.)
