MOVEit Transfer attaqué par un programme d'exploitation de type "zero-day

Des chercheurs en sécurité de Rapid7 ont découvert que des acteurs de la menace exploitaient une vulnérabilité de type "zero-day" dans le produit MOVEit Transfer de Progress Software, largement utilisé par les entreprises pour les transferts de fichiers sécurisés. Les cybercriminels exploitent une vulnérabilité d'injection SQL (CVE-2023-34362) pour obtenir un accès non autorisé à la base de données du produit.

Cette vulnérabilité permet à des attaquants non authentifiés d'infiltrer la base de données de MOVEit Transfer et d'exécuter des instructions SQL pour modifier ou supprimer des éléments critiques de la base de données. Cette information a été confirmée par Progress Software, qui a publié un avis indiquant qu'"une vulnérabilité par injection SQL a été découverte dans l'application web MOVEit Transfer et pourrait permettre à un attaquant non authentifié d'obtenir un accès non autorisé à la base de données de MOVEit Transfer".

Il affecte toutes les versions de MOVEit Transfer, mais MOVEit Automation, MOVEit Client, MOVEit Add-in for Microsoft Outlook, MOVEit Mobile, WS_FTP Client, WS_FTP Server, MOVEit EZ, MOVEit Gateway, MOVEit Analytics, et MOVEit Freely ne sont pas affectés.

Les chercheurs de Rapid7 ont déclaré avoir remarqué la présence d'un webshell nommé "human2.aspx" dans le dossier wwwroot des systèmes compromis, ce qui suggère une exploitation automatisée. Ce webshell, conçu pour passer inaperçu parmi les fichiers légitimes utilisés par l'interface web de MOVEit Transfer, est protégé par un mot de passe. Les tentatives non autorisées d'accès au webshell aboutissent à une erreur 404 Not Found, ce qui indique une tentative potentielle de dissimulation de l'activité malveillante.

Selon Rapid7, plus de 2 500 instances de MOVEit Transfer étaient accessibles au public sur Internet au 31 mai, avec une concentration importante aux États-Unis. Dans l'intervalle, Progress Software a fourni à ses clients des indicateurs de compromission (IoC) associés à l'attaque et leur recommande vivement de contacter immédiatement leurs équipes de sécurité et d'informatique dès qu'ils détectent une activité suspecte.

Les sources de cet article comprennent un article de SecurityAffairs.

Résumé

Nom de l'article

MOVEit Transfer attaqué par un programme d'exploitation de type "zero-day

Description

Des chercheurs de Rapid7 ont découvert de nouvelles menaces exploitant une vulnérabilité de type "zero-day" dans le produit MOVEit Transfer de Progress Software.

Auteur

Obanla Opeyemi

Nom de l'éditeur

TuxCare

Logo de l'éditeur