Des chercheurs ont récemment découvert une faille dans un outil de transfert de fichiers populaire. Des hackers exploitent activement cette vulnérabilité pour exfiltrer principalement les données des entreprises et des organisations.
Outil de transfert de fichiers : prudence avec MOVEit Transfer
Au même titre que WeTransfer, Dropbox, Google Drive,TransferNow ou encore Send Box, MOVEit Transfer fait partie des outils de transfert de fichier les plus populaires. Ce dernier serait en proie à une vulnérabilité qui pourrait avoir de lourdes conséquences pour les utilisateurs.
https://twitter.com/1ZRR4H/status/1664764361515192322?s=20
Les chercheurs de Progress Software Corporation (l’outil est développé par Ipswitch, une filiale de la société américaine Progress Software) ont effectivement découvert une faille de sécurité dans le logiciel MOVEit Transfer. Dans un avis de sécurité, ils évoquent une vulnérabilité d’injection SQL suivie sous le nom CVE-2023-34362.
Selon l’équipe de Progress Software Corporation, les hackers pourraient exploiter la faille pour obtenir un accès non autorisé au système cible et en prendre le contrôle pour ensuite voler les données des victimes. Aucun détail en ce qui le nombre et l’identité des organisations potentiellement touchées par la violation n’a été fourni.
Des correctifs déjà disponibles
MOVEit Transfer permet un transfert de fichiers sécurisé au sein et entre les organisations, ainsi qu’entre les groupes et les individus. L’outil est populaire parmi les organisations. Ce qui suppose un nombre potentiellement important de victimes.
Des correctifs ont rapidement été mis à disposition des utilisateurs après la découverte de la vulnérabilité, déclare Progress Software. Avec l’avis de sécurité, la société fournit des conseils avisés pour atténuer les risques et pour rechercher éventuellement des activités malveillantes.
MOVEit Transfer dispose également d’un service cloud. Selon Ian Pitt, directeur de l’information chez Progress Software, la plateforme cloud du logiciel serait également affectée par la faille. Néanmoins, les hackers ne l’utilisent pas pour diffuser des malwares d’après les observations des chercheurs.
Vers une exploitation massive ?
Des sociétés de cybersécurité ont analysé la faille. Elles dressent un tableau plus pessimiste. Rapid7 (une société de cybersécurité basée à Boston aux Massachusetts, États-Unis) et Mandiant (la société de sécurité d’Alphabet, la maison mère de Google) notamment évoquent une augmentation des cas de compromission liés à la faille après la diffusion du communiqué.
Microsoft is attributing attacks exploiting the CVE-2023-34362 MOVEit Transfer 0-day vulnerability to Lace Tempest, known for ransomware operations & running the Clop extortion site. The threat actor has used similar vulnerabilities in the past to steal data & extort victims. pic.twitter.com/q73WtGru7j
— Microsoft Threat Intelligence (@MsftSecIntel) June 5, 2023
Selon les analystes de ces sociétés de sécurité, la vulnérabilité est déjà activement exploitée dans la nature pour exfiltrer principalement les données des organisations. Une exploitation massive se poursuivra probablement au cours des prochains jours, ajoutent-ils. Microsoft Threat Intelligence attribue ces exploitations à Lace Tempest, le gang derrière le site d’extorsion Clop.
En tout cas, les chercheurs de Progress Software Corporation et leurs partenaires continuent leurs investigations et informeront les utilisateurs au fur et à mesure. « Nous avons des partenaires médico-légaux à bord et nous travaillons avec eux pour nous assurer que nous avons une compréhension en constante évolution de la situation », explique Pitt.
- Partager l'article :