La vulnérabilité du transfert MOVEit qui était exploitée est maintenant corrigée
À la lumière des récents événements en matière de cybersécurité, une vulnérabilité du transfert MOVEit a été activement exploitée. Selon des rapports récents des médias, les tentatives d'exploitation ont commencé à faire surface lorsque les détails du bogue ont été divulgués publiquement. La vulnérabilité du transfert de fichiers MOVEit, lorsqu'elle est exploitée par des acteurs de la menace, peut conduire à un contournement de l'authentification.
Dans cet article, nous découvrirons la nature de cette vulnérabilité et les mesures de sécurité qui peuvent être mises en œuvre pour s'en prémunir.
CVE-2024-5806 : Vulnérabilité du transfert de MOVEit
La vulnérabilité de transfert MOVEit, répertoriée sous le nom de CVE-2024-5806, a reçu un score de gravité de vulnérabilité critique (CVSS) de 9.1. Ce score de gravité élevé est dû à un contournement d'authentification impactant les versions :
- De 2023.0.0 à 2023.0.11
- De 2023.1.0 à 2023.1.6, et
- De 2024.0.0 à 2024.0.2
Dans un récent avis publié par l'organisation, il a été découvert que la vulnérabilité se trouve dans son module SFTP. Avant cela, l'organisation avait également corrigé une autre vulnérabilité, CVE-2024-5805, CVSS score : 9.1, qui conduisait également à un contournement de l'authentification.
Gravité de l'attaque de la vulnérabilité de transfert MOVEit
À la lumière des exploits récents, watchTowr Labs a publié des détails spécifiques sur CVE-2024-5806. Les chercheurs experts Aliz Hammond et Sina Kheirkhah ont déclaré que cette vulnérabilité peut être exploitée pour usurper l'identité d'utilisateurs en surface.
Les détails partagés par l'organisation précisent que la faille est en fait constituée de vulnérabilités distinctes. L'une d'entre elles est liée à Progress MOVEit et l'autre à la bibliothèque SSH d'IPWorks. En outre, les chercheurs ont déclaré que :
"Si la vulnérabilité la plus dévastatrice, à savoir la possibilité d'usurper l'identité d'utilisateurs arbitraires, est propre à MOVEit, la vulnérabilité d'authentification forcée, moins importante (mais néanmoins très réelle), est susceptible d'affecter toutes les applications qui utilisent le serveur SSH IPWorks"
Pour faire la lumière sur cet incident, un porte-parole de Progress Software a déclaré que
"Actuellement, nous n'avons reçu aucun rapport indiquant que ces vulnérabilités ont été exploitées et nous n'avons pas connaissance d'un impact opérationnel direct sur les clients. Pour être clair, ces vulnérabilités ne sont pas liées à la faille zero-day vulnérabilité de transfert MOVEit que nous avons signalée en mai 2023."
Efforts d'atténuation de Progress Software
Un premier avis relatif à la vulnérabilité du transfert MOVEit a été publié par Progress Software. Outre cet avis, l'entreprise a également publié un correctif pour cette vulnérabilité et collabore avec ses clients pour résoudre les problèmes qu'ils peuvent rencontrer.
Elle a également publié un avis actualisé concernant le correctif et la vulnérabilité. Un extrait de l'avis mis à jour indique que "la vulnérabilité nouvellement identifiée dans un composant tiers utilisé dans MOVEit Transfer augmente le risque du problème original mentionné ci-dessus s'il n'est pas corrigé ".
Les médias ont cité WatchTower qui affirme qu'un examen technique du problème a été effectué. Selon cet examen, Progress a fait des efforts considérables pour s'assurer que les clients déploient les correctifs. En outre, ces experts en cybersécurité ne pensent pas que les utilisateurs soient encore vulnérables à l'attaque.
Conclusion
La vulnérabilité CVE-2024-5806 de MOVEit Transfer a été corrigée par un correctif critique. Les mesures proactives et le support continu de Progress Software soulignent l'importance d'une action rapide en matière de cybersécurité, garantissant que les utilisateurs restent protégés contre les menaces potentielles. La mise en œuvre de mesures de cybersécurité proactives est essentielle pour se prémunir contre de telles attaques et pour améliorer la posture de sécurité globale.
Les sources de cet article sont The Hacker News et The Record.