16/12/2024

Actu Cybersécurité

Le ransomware Clop connait la faille zero-day dans MOVEit Transfer depuis 2021 !

Une faille de sécurité zero-day est présente dans l'outil MOVEit Transfer et des cybercriminels l'exploitent déjà dans le cadre de cyberattaques pour dérober des données aux entreprises ! D'ailleurs, le gang de ransomware Clop s'amuse depuis longtemps avec cette vulnérabilité.

Propulsée par l'éditeur Ipswitch (dont la maison mère est Progress), l'application MOVEit Transfer est utilisée par les entreprises pour partager des données de manière sécurisée avec d'autres partenaires ou clients, que ce soit en HTTP, SCP ou SFTP. Cette application est disponible en mode SaaS et elle peut être aussi déployée en local sur l'infrastructure de l'entreprise.

MOVEit Transfer et la CVE-2023-34362

Désormais associée à la référence CVE-2023-34362, cette faille de sécurité est de type "injection SQL" et elle permet à un attaquant d'exécuter du code à distance sur le serveur MOVEit Transfer. Pour l'exploiter, les attaquants doivent avoir la possibilité de communiquer avec le serveur sur le port 80 ou le port 443, ce qui n'est pas sans conséquence puisqu'il n'est plus possible d'utiliser certaines fonctions, dont l'accès externe à l'interface web, l'API, et l'extension MOVEit Transfer pour Outlook.

D'après les informations disponibles sur Shodan, il y aurait plus de 2 500 serveurs MOVEit Transfer exposés sur Internet et qui représentent des cibles potentielles. À chaque fois qu'un serveur a été compromis, le webshell nommé "human2.asp" a été découvert à la racine du site web de l'application (c:\MOVEit Transfer\wwwroot\).

Le tableau ci-dessous, issu du bulletin de sécurité officiel de Progress, liste les versions affectées et les versions où la faille de sécurité zero-day est corrigée :

Versions affectées Versions corrigées Documentation
MOVEit Transfer 2023.0.0 (15.0) MOVEit Transfer 2023.0.1 MOVEit 2023 Upgrade Documentation
MOVEit Transfer 2022.1.x (14.1) MOVEit Transfer 2022.1.5 MOVEit 2022 Upgrade Documentation
MOVEit Transfer 2022.0.x (14.0) MOVEit Transfer 2022.0.4
MOVEit Transfer 2021.1.x (13.1) MOVEit Transfer 2021.1.4 MOVEit 2021 Upgrade Documentation
MOVEit Transfer 2021.0.x (13.0) MOVEit Transfer 2021.0.6
MOVEit Transfer 2020.1.x (12.1) Patch spécial disponible See KB 000234559
MOVEit Transfer 2020.0.x (12.0) or older Doit être mis à jour vers une version supportée See MOVEit Transfer Upgrade and Migration Guide
MOVEit Cloud Prod:
14.1.4.94 or 14.0.3.42
Test:
15.0.1.37
Toutes les instances Cloud sont patchées.

Si vous utilisez MOVEit Transfer on-premise, il est urgent de patcher votre serveur ou de le mettre hors ligne en attendant de le faire ! De son côté, l'agence américaine CISA a aussi émise une alerte au sujet de cette faille de sécurité zero-day.

Des attaques initiées par le gang de ransomware Clop

Le gang de ransomware Clop exploite de manière intensive la faille de sécurité dans MOVEit Transfer de façon à voler les données stockées sur ces serveurs destinés au partage de données. Cela peut aller plus loin avec la compromission de l'infrastructure, selon les attaques. Cette information est officielle puisque c'est le gang lui-même qui affirme être à l'origine de la découverte de cette vulnérabilité.

D'après les analyses menées par l'entreprise Kroll sur les serveurs de clients impactés, les cybercriminels du groupe Clop exploiteraient cette vulnérabilité depuis 2021 ! Ou en tout cas, on peut dire qu'ils commençaient à tâter le terrain, et surtout ils ont pris le temps de se préparer pour réaliser des cyberattaques massives.

Il y a des similitudes dans les actions entre les attaques récentes et des événements passés. Le rapport de Kroll précise : "L'analyse par Kroll des journaux de Microsoft IIS des clients concernés a révélé des preuves d'activités similaires dans plusieurs environnements clients l'année dernière (avril 2022) et, dans certains cas, dès juillet 2021."

Progressivement, avec le temps, les cybercriminels ont mis au point leur outil et leur méthodologie pour automatiser ces attaques et faire de l'extorsion massive de données. D'après Kroll, la campagne d'attaques automatisées s'est intensifiée à partir du 15 mai 2023, avant de devenir massive à partir du 27 mai 2023.

À ce jour, le gang de ransomware Clop aurait déjà compromis les serveurs MOVEit Transfer de plusieurs centaines d'entreprises...!

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.