ClickCease Le gang du ransomware Cl0p exploite la faille d'injection SQL du transfert MOVEit

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Le gang du ransomware Cl0p exploite la faille d'injection SQL du transfert MOVEit

Le 22 juin 2023 - L'équipe de relations publiques de TuxCare

Dans le cadre d'une collaboration, l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) et le Federal Bureau of Investigation (FBI) ont publié un avis commun dénonçant l'exploitation en cours d'une vulnérabilité critique dans l'application MOVEit Transfer de Progress Software par le célèbre gang de ransomware Cl0p, également connu sous le nom de TA505. Ce groupe de cybercriminels a capitalisé sur une faille d'injection SQL présente dans la solution de transfert de fichiers gérés (MFT) de Progress Software, MOVEit Transfer, pour lancer ses attaques malveillantes.

L'avis donne un aperçu de l'utilisation par le gang Cl0p Ransomware d'une vulnérabilité critique dans l'application MOVEit Transfer de Progress Software, exploitant une faille d'injection SQL pour cibler les applications web de MOVEit Transfer tournées vers l'internet. Alarmant la communauté de la cybersécurité, ce gang a menacé de rendre publiques les données volées, à moins que les entreprises ciblées ne se plient à ses exigences avant le 14 juin 2023.

Microsoft, qui opère sous le nom de code Lace Tempest (alias Storm-0950), surveille activement les cyberactivités du Cl0p Ransomware Gang. Ils ont confirmé que ce groupe est responsable de l'exploitation d'une vulnérabilité de sécurité critique dans les serveurs PaperCut. Pendant plus de quatre ans, à partir de février 2019, cette organisation criminelle s'est livrée à des opérations illicites telles que l'organisation de campagnes de ransomware en tant que service et l'utilisation de courtiers d'accès initiaux. Leur mode opératoire consiste à exploiter des vulnérabilités telles que CVE-2023-34362, une faille d'injection SQL découverte dans MOVEit Transfer, pour prendre le contrôle d'applications tournées vers Internet et mener des attaques par ransomware. En exploitant cette vulnérabilité, ils acquièrent la capacité d'exécuter du code à distance, ce qui peut conduire au déploiement de ransomwares ou d'autres charges utiles destructrices.

Une analyse menée par Kroll a révélé que les acteurs de la menace Cl0p expérimentent une vulnérabilité spécifique depuis avril 2022, des tests préliminaires ayant été détectés dès juillet 2021. Les observations faites par Censys indiquent également une diminution du nombre d'instances MOVEit Transfer exposées, qui est passé de plus de 3 000 hôtes à un peu plus de 2 600.

Kevin Beaumont s'est penché sur la situation, notant que le groupe de ransomwares Cl0p a maintenant recours à l'exploitation de vulnérabilités de type "zero-day" dans les applications web pour la troisième fois en l'espace de trois ans. Ils ciblent en particulier les produits qui mettent en avant leurs fonctions de sécurité, ce qui souligne l'évolution des tactiques employées par ces acteurs de la menace.

Les sources de cet article comprennent un article de TheHackerNews.

Résumé
Le gang du ransomware Cl0p exploite la faille d'injection SQL du transfert MOVEit
Nom de l'article
Le gang du ransomware Cl0p exploite la faille d'injection SQL du transfert MOVEit
Description
La CISA et le FBI ont publié un avis commun sur l'exploitation en cours d'une faille critique dans l'application MOVEit Transfer de Progress Software.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information