Progress Software le jeudi divulgué une troisième vulnérabilité affectant son application MOVEit Transfer, alors que le gang de cybercriminels Cl0p a déployé des tactiques d’extorsion contre les entreprises concernées.
Le nouveau défautqui n’a pas encore reçu d’identifiant CVE, concerne également une vulnérabilité d’injection SQL qui « pourrait conduire à une élévation des privilèges et à un accès non autorisé potentiel à l’environnement ».
La société exhorte tous ses clients à désactiver tout le trafic HTTP et HTTPs vers MOVEit Transfer sur les ports 80 et 443 pour protéger leurs environnements pendant qu’un correctif est en cours de préparation pour remédier à la faiblesse.
La révélation survient une semaine après que Progress a divulgué un autre ensemble de vulnérabilités d’injection SQL (CVE-2023-35036) qui, selon lui, pourraient être militarisés pour accéder au contenu de la base de données de l’application.
Les vulnérabilités rejoignent CVE-2023-34362, qui a été exploité comme un jour zéro par le gang de rançongiciels Clop dans des attaques de vol de données. Kroll a déclaré avoir trouvé des preuves que le groupe, surnommé Lace Tempest par Microsoft, avait testé l’exploit dès juillet 2021.
Le développement coïncide également avec les acteurs Cl0p listant les noms de 27 entreprises qui, selon eux, ont été piratées à l’aide de la faille MOVEit Transfer sur son portail de fuite darknet. Selon un rapport de CNN, cela inclut également plusieurs agences fédérales américaines telles que le ministère de l’Énergie.
« Le nombre d’organisations potentiellement piratées jusqu’à présent est nettement supérieur au nombre initial nommé dans le cadre de la dernière exploitation MFT de Clop : la campagne Fortra GoAnywhere MFT », ReliaQuest a dit.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Censys, une plateforme de recherche en ligne pour évaluer la surface d’attaque des appareils connectés à Internet, a dit près de 31 % des plus de 1 400 hôtes exposés exécutant MOVEit appartiennent au secteur des services financiers, 16 % aux soins de santé, 9 % aux technologies de l’information et 8 % aux secteurs gouvernementaux et militaires. Près de 80% des serveurs sont basés aux États-Unis
Selon l’analyse de Kaspersky de 97 familles propagées via le modèle commercial de logiciels malveillants en tant que service (MaaS) entre 2015 et 2022, les ransomwares sont en tête avec une part de 58 %, suivis des voleurs d’informations (24 %) et des botnets, chargeurs et portes dérobées ( 18 %).
« L’argent est la racine de tous les maux, y compris la cybercriminalité », a déclaré la société russe de cybersécurité. a ditajoutant que les schémas MaaS permettent à des attaquants moins compétents sur le plan technique d’entrer dans la mêlée, abaissant ainsi la barre pour mener de telles attaques.