Nouvelle faille critique dans MOVEit Transfer : les pirates cherchent déjà à l’exploiter !
Une nouvelle faille de sécurité majeure a été découverte et patchée dans l'application MOVEit Transfer ! Moins de 24 heures après la divulgation de cette vulnérabilité, les cybercriminels tentent déjà de l'exploiter ! Faisons le point.
Rappel : l'éditeur Ipswitch (dont la maison mère est Progress) commercialise l'application MOVEit Transfer, utilisée par les entreprises pour partager des données de manière sécurisée avec d'autres partenaires ou clients, que ce soit en HTTP, SCP ou SFTP. Cette application est disponible en mode SaaS et elle peut être aussi déployée en local sur l'infrastructure de l'entreprise.
Il y a environ un an, plusieurs failles de sécurité avaient été découvertes et corrigées dans MOVEit Transfer. Tout au long de l'année, différents groupes de cybercriminels (dont le ransomware Clop) ont exploité ces vulnérabilités pour compromettre le réseau des organisations : Sony, Siemens Energy, CCleaner, etc... La liste de victimes est très longue. Espérons que cette fois-ci, ce ne soit pas aussi catastrophique.
Associée à la référence CVE-2024-5806, la nouvelle faille de sécurité permet à un attaquant d'outrepasser le processus d'authentification du module SFTP de MOVEit Transfer. Ce dernier étant nécessaire pour effectuer des transferts de fichiers par l'intermédiaire du protocole SSH. L'exploitation de cette vulnérabilité donne l'opportunité à l'attaquant de lire les fichiers hébergés sur le serveur MOVEit Transfer, et même de modifier ou supprimer ces données, ainsi que d'en charger de nouvelles.
2 700 serveurs MOVEit Transfer potentiellement vulnérables
Le bulletin de sécurité de Progress pour cette faille de sécurité critique a été publié le 25 juin 2024. Moins de 24 heures plus tard, il y a déjà un rapport technique complet disponible sur le site de watchTowr, ainsi qu'un exploit PoC disponible sur GitHub. De son côté, The Shadowserver Foundation affirme sur X (Twitter) avoir observé des tentatives d'exploitation de cette vulnérabilité.
Un rapport de Censys évoque le nombre de serveurs MOVEit Transfer exposés sur Internet, et donc, potentiellement vulnérables : environ 2 700 serveurs. Un chiffre qui évolue légèrement chaque jour. Autant de serveurs qui doivent se protéger de la CVE-2024-5806.
"La majorité des instances MOVEit exposées que nous avons observées se trouvent aux États-Unis, mais d'autres expositions ont été observées au Royaume-Uni, en Allemagne, aux Pays-Bas et au Canada, et dans d'autres pays.", peut-on lire dans le rapport.
Voici la carte globale de Censys :
Comment se protéger de la CVE-2024-5806 ?
Avant de parler du correctif, parlons des versions vulnérables. À ce sujet, Progress précise : "Ce problème affecte MOVEit Transfer : de 2023.0.0 à 2023.0.11, de 2023.1.0 à 2023.1.6, de 2024.0.0 à 2024.0.2."
Voici la liste des versions comprenant ce correctif :
- MOVEit Transfer 2023.0.11
- MOVEit Transfer 2023.1.6
- MOVEit Transfer 2024.0.2
Si vous ne pouvez pas patcher dès maintenant, limitez les flux entrants et sortants sur le serveur MOVEit Transfer afin d'autoriser uniquement les hôtes de confiance à se connecter.
