MOVEit Transfer vulnérable à cause d'un nouveau bogue

Une nouvelle vulnérabilité SQL a été découverte dans le logiciel MOVEit Transfer de Progress Software.

Progress Software avertit les utilisateurs de MOVEit Transfer d’une nouvelle vulnérabilité SQL. La société de logiciels conseille aux utilisateurs de désactiver tout trafic HTTP et HTTP vers leur environnement.

Statut

La nouvelle vulnérabilité pourrait entraîner un accès non autorisé à des environnements dotés de nombreux privilèges. Progress n’a pas encore diffusé de correctif, mais est en train de tester un correctif qui, selon l’entreprise, sera lancé prochainement.

Progress lui-même a désactivé le trafic HTTP pour MOVEit Cloud. La société conseille aux utilisateurs de modifier les pare-feux et de désactiver le trafic HTTP et le trafic HTTP vers MOVEit Transfer sur les ports 80 et 443 jusqu’à ce que le correctif soit installé.

Le transfert de fichiers via les protocoles SFTP et FTP/s reste possible.

Pas pour la première fois

Les détails quant à la diffusion de cette nouvelle vulnérabilité ne sont pas connus, mais sur Twitter, un compte semblait déjà avoir des preuves de ce zero day.

OK, don't tell anybody, but this attack works on current version of Progress MOVEit Transfer: 2023.0.2 (15.0.2.49). So I guess that I just dropped a 0 day here… 😅 Always remenber to check agfainst the current version!
— MCKSys Argentina (@MCKSysAr) June 15, 2023

Il fallait des jours pour que cette nouvelle menace se manifesterait, après que l’Agence américaine de cybersécurité et de sécurité des infrastructures eût alerté sur la situation de MOVEit. En outre, le vol de données et l’extorsion étaient déjà craints, suite à des piratages via les vulnérabilités de MOVEit.

Victimes

Entre-temps, Clop, le site et le groupe de pirates, a commencé à divulguer des données. L’organisation a déjà réclamé la responsabilité de précédents piratages via MOVEit et est probablement à l’origine d’attaques plus récentes via le logiciel, étant donné les données qu’elle a déjà partagées.

Parmi les noms importants de victimes déjà confirmés figurent la société énergétique Shell, Landal Greenparks et l’université de Géorgie. Les États américains du Missouri et de l’Illinois ont également été confirmés, de même que deux entités du ministère américain de l’énergie, le DEO.

Les fuites actuelles de Clop sont plutôt des preuves qu’une menace, mais on s’attend généralement à ce que plusieurs tentatives d’extorsion ne tardent pas à se produire.

Cookie	Duration	Description
__gads	1 year 24 days	Le cookie __gads, défini par Google, est stocké sous le domaine DoubleClick et permet de suivre le nombre de fois où les utilisateurs voient une publicité, de mesurer le succès de la campagne et de calculer ses revenus. Ce cookie ne peut être lu qu'à partir du domaine sur lequel il est installé et ne permet pas de suivre les données lors de la navigation sur d'autres sites.
_ga	2 years	Il s'agit d'un cookie de base de Google Analytics permettant d'identifier les utilisateurs de notre site Web. Par défaut, nous utilisons une version limitée de Google Analytics avant que les cookies ne soient acceptés. Les données y sont rendues anonymes et les fonctions de marketing sont désactivées.
_gid	1 day	Il s'agit d'un cookie de base de Google Analytics permettant d'identifier les utilisateurs de notre site Web. Par défaut, nous utilisons une version limitée de Google Analytics avant que les cookies ne soient acceptés. Les données y sont rendues anonymes et les fonctions de marketing sont désactivées.
cli_user_preference	1 year	Ce cookie garantit le bon fonctionnement de notre notification de cookies. Vos préférences sont stockées dans un cookie, afin que nous le sachions lors de votre prochaine visite.
CONSENT	2 years	YouTube place ce cookie via les vidéos YouTube intégrées et enregistre des données statistiques anonymes.
cookielawinfo*	1 year	Ce cookie garantit que notre notification de cookies fonctionne correctement. Vos préférences sont enregistrées dans un cookie afin que nous sachions quand vous nous rendrez visite la prochaine fois.
IDE	1 year 24 days	Les cookies Google DoubleClick IDE sont utilisés pour stocker des informations sur la façon dont l'utilisateur utilise le site web afin de lui présenter des annonces pertinentes et en fonction de son profil.
itdaily_lang	1 year	Ce cookie est nécessaire pour masquer la notification du pays. La notification du pays est affichée lorsque vous visitez le site web à partir d'un pays. C'est pourquoi nous proposons également une édition spécifique de ITdaily. Vous pouvez masquer cette notification grâce à ce cookie.
itdaily_theme	1 year	Ce cookie enregistre si vous voulez activer la version darkmode ou normale.
PHPSESSID	1 day	Ce cookie provient d'applications PHP standard. Le cookie est utilisé pour stocker et identifier une session d'utilisateur. Il s'agit d'un cookie de session qui est immédiatement supprimé lorsque vous fermez le navigateur.
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
viewed_cookie_policy	1 year	Ce cookie garantit le bon fonctionnement de notre notification de cookies. Vos préférences sont enregistrées dans un cookie afin que nous puissions connaître votre prochaine visite.
wordpress_*	30 days	Wordpress utilise plusieurs cookies pour que le site web fonctionne correctement, par exemple pour permettre à l'équipe éditoriale de se connecter.
wp-*	1 day	Wordpress utilise plusieurs cookies pour que le site web fonctionne correctement, par exemple pour permettre à l'équipe éditoriale de se connecter.

Cookie	Duration	Description
_li_id.*	2 years	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
_li_ses.*	30 minutes	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
itdaily_views	1 hour	Ce cookie est utilisé par notre propre système pour suivre les utilisateurs sur le site web.

Cookie	Duration	Description
_li_id.*	2 years	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
_li_ses.*	30 minutes	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
VISITOR_INFO1_LIVE	5 months 27 days	Un cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par YouTube et est utilisé pour suivre les vues des vidéos intégrées dans les pages YouTube.

MOVEit Transfer vulnérable à cause d’un nouveau bogue

Statut

Pas pour la première fois

Victimes

actualités liées

newsletter