Progress Software a annoncé la découverte et la correction d’une vulnérabilité critique d’injection SQL dans MOVEit Transfer, un logiciel populaire utilisé pour le transfert sécurisé de fichiers. De plus, Progress Software a corrigé deux autres vulnérabilités très graves.
La vulnérabilité d’injection SQL identifiée, étiquetée comme CVE-2023-36934pourrait potentiellement permettre à des attaquants non authentifiés d’obtenir un accès non autorisé à la base de données MOVEit Transfer.
Les vulnérabilités d’injection SQL sont une faille de sécurité bien connue et dangereuse qui permet aux attaquants de manipuler les bases de données et d’exécuter le code de leur choix. Les attaquants peuvent envoyer des charges utiles spécialement conçues à certains terminaux de l’application affectée, ce qui pourrait modifier ou exposer des données sensibles dans la base de données.
La raison pour laquelle CVE-2023-36934 est si critique est qu’elle peut être exploitée sans avoir à se connecter. Cela signifie que même les attaquants sans informations d’identification valides peuvent potentiellement exploiter la vulnérabilité. Cependant, à ce jour, aucun rapport n’a signalé que cette vulnérabilité particulière était activement utilisée par des attaquants.
Cette découverte fait suite à une série de cyberattaques récentes qui ont utilisé une vulnérabilité d’injection SQL différente (CVE-2023-34362) pour cibler MOVEit Transfer avec le rançongiciel Clop. Ces attaques ont entraîné le vol de données et l’extorsion d’argent des organisations concernées.
Cette dernière mise à jour de sécurité de Progress Software corrige également deux autres vulnérabilités très graves : CVE-2023-36932 et CVE-2023-36933.
CVE-2023-36932 est une faille d’injection SQL qui peut être exploitée par des attaquants connectés pour obtenir un accès non autorisé à la base de données MOVEit Transfer. CVE-2023-36933, d’autre part, est une vulnérabilité qui permet aux attaquants d’arrêter de manière inattendue le programme MOVEit Transfer.
🔐 Gestion des accès privilégiés : apprenez à relever les principaux défis
Découvrez différentes approches pour relever les défis de la gestion des comptes privilégiés (PAM) et améliorer votre stratégie de sécurité des accès privilégiés.
Les chercheurs de HackerOne et de l’initiative Zero Day de Trend Micro ont signalé de manière responsable Progress Software à propos de ces vulnérabilités.
Ces vulnérabilités affectent plusieurs versions de MOVEit Transfer, y compris 12.1.10 et versions précédentes, 13.0.8 et versions antérieures, 13.1.6 et versions antérieures, 14.0.6 et versions antérieures, 14.1.7 et versions antérieures et 15.0.3 et versions antérieures.
Progress Software a mis à disposition les mises à jour nécessaires pour toutes les versions majeures de MOVEit Transfer. Il est fortement conseillé aux utilisateurs de mettre à jour vers la dernière version de MOVEit Transfer afin de réduire les risques posés par ces vulnérabilités.