Transfert de fichiers MOVEit Zéro

Accueil » Réseau des blogueurs de sécurité » MOVEit File Transfer Zero-day compromet plusieurs organisations

Une attaque exploitant CVE-2023-34362, une vulnérabilité zero-day du logiciel de transfert de fichiers MOVEit, a été révélée début juin, et d'autres victimes sont toujours découvertes. La vulnérabilité est une vulnérabilité d'injection SQL qui pourrait permettre à un attaquant non authentifié d'accéder à la base de données de MOVEit Transfer.

L'attaque a été menée par au moins une menace qui a obtenu un accès non autorisé au logiciel et volé des données sensibles aux organisations concernées. Microsoft attribue l'attaque au groupe Lace Tempest, le groupe à l'origine de l'opération de rançongiciel Clop. Jusqu'à présent, la liste des victimes connues comprend la BBC, British Airways, Boots, l'Université de Rochester et le gouvernement provincial de la Nouvelle-Écosse au Canada.

Sur le site Web de Clop, le groupe a revendiqué la responsabilité de l'exploit et de l'attaque, affirmant également qu'il était le seul groupe à avoir effectué une telle attaque.

‍

‍

Clop a donné aux victimes de l'attaque jusqu'au 14 juin pour les contacter et négocier un paiement d'extorsion, après quoi le nom de la victime et ses données seront publiés sur le site Web de Clop.

Alors que d'autres victimes continuent d'être révélées, il convient de noter que Clop a attaqué plus de 100 victimes connues cette année, la plupart des victimes provenant des secteurs de la santé et des services informatiques (8 % chacun), suivis des organisations de services financiers (7 %).

‍

‍La vulnérabilité a été corrigée par Progress Software le 2 juin, mais les preuves suggèrent que les attaquants ont commencé à exploiter la vulnérabilité le 27 mai, de sorte que les organisations qui ont été compromises avant le correctif ne sont pas protégées rétroactivement.

Si vous utilisez le logiciel de transfert de fichiers MoveIT, il est important de vérifier si vos systèmes présentent des signes de compromission et d'implémenter le correctif dès que possible. Progress Software a publié un bulletin de sécurité, disponible sur https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023. Le bulletin comprend des étapes de correction recommandées et des indicateurs possibles de compromission.

‍

Selon les données de Shodan, il y a actuellement un peu plus de 2500 appareils sur Internet exposés à CVE-2023-34362. Les appareils se trouvent principalement aux États-Unis (73 % des appareils concernés), suivis du Royaume-Uni (5 %), le troisième pays le plus touché étant l'Allemagne (4,5 %).

‍

Les données d'analyse Greynoise montrent que l'analyse des serveurs MOVEit exposés a commencé à être perceptible le 1er juin et a atteint un pic le 4 juin, avant de diminuer considérablement les 5 et 6 juin, ce qui signifie que les attaquants trouvent cet exploit moins rentable.

*** Ceci est un blog syndiqué du Security Bloggers Network de Cyber ​​Risk Quantification rédigé par Cyber ​​Risk Quantification. Lisez le message original sur : https://www.kovrr.com/blog-post/moveit-file-transfer-zero-day-compromises-multiple-organizations