Progress Software, la société à l’origine de l’application MOVEit Transfer, a publié des correctifs pour résoudre les toutes nouvelles vulnérabilités d’injection SQL affectant la solution de transfert de fichiers qui pourraient permettre le vol d’informations sensibles.
“Plusieurs vulnérabilités d’injection SQL ont été identifiées dans l’application Web MOVEit Transfer qui pourraient permettre à un attaquant non authentifié d’obtenir un accès non autorisé à la base de données MOVEit Transfer”, a déclaré la société. a dit dans un avis publié le 9 juin 2023.
“Un attaquant pourrait soumettre une charge utile spécialement conçue à un point de terminaison d’application MOVEit Transfer, ce qui pourrait entraîner la modification et la divulgation du contenu de la base de données MOVEit.”
Les failles, qui impactent toutes les versions du service, ont été corrigées dans les versions 2021.0.7 (13.0.7), 2021.1.5 (13.1.5), 2022.0.5 (14.0.5), 2022.1.6 (14.1 .6) et 2023.0.2 (15.0.2). Tous Instances MOVEit Cloud ont été entièrement patchés.
La société de cybersécurité Huntress a été crédité avec la découverte et le signalement des vulnérabilités dans le cadre d’une revue de code. Progress Software a déclaré qu’il n’avait pas observé d’indications selon lesquelles les failles nouvellement découvertes seraient exploitées dans la nature.
Le développement intervient alors que la vulnérabilité MOVEit Transfer (CVE-2023-34362) signalée précédemment a fait l’objet d’une forte exploitation pour déposer des shells Web sur des systèmes ciblés.
L’activité a été attribuée au célèbre gang de rançongiciels Cl0p, qui a fait ses preuves dans l’orchestration de campagnes de vol de données et l’exploitation de bogues du jour zéro dans diverses plates-formes de transfert de fichiers gérées depuis décembre 2020.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
La société d’enquête et de conseil en gestion des risques Kroll a également trouvé des preuves que le gang de la cybercriminalité avait expérimenté des moyens d’exploiter CVE-2023-34362 dès juillet 2021, ainsi que des méthodes pour extraire des données de serveurs MOVEit compromis depuis au moins avril 2022. .
Une grande partie de l’activité de reconnaissance et de test malveillante en juillet 2021 aurait été de nature manuelle, avant de passer à un mécanisme automatisé en avril 2022 pour sonder plusieurs organisations et collecter des informations.
“Il semble que les acteurs de la menace Clop aient terminé l’exploit MOVEit Transfer au moment de l’événement GoAnywhere et aient choisi d’exécuter les attaques de manière séquentielle plutôt qu’en parallèle”, a déclaré la société. “Ces résultats mettent en évidence la planification et la préparation importantes qui précèdent probablement les événements d’exploitation de masse.”
Les acteurs de la Cl0p ont également adressé un avis d’extorsion aux entreprises concernées, les exhortant à contacter le groupe d’ici le 14 juin 2023, sous peine de faire publier leurs informations volées sur le site de fuite de données.