Le ransomware Clop connait la faille zero-day dans MOVEit Transfer depuis 2021 !

Une faille de sécurité zero-day est présente dans l'outil MOVEit Transfer et des cybercriminels l'exploitent déjà dans le cadre de cyberattaques pour dérober des données aux entreprises ! D'ailleurs, le gang de ransomware Clop s'amuse depuis longtemps avec cette vulnérabilité.

Propulsée par l'éditeur Ipswitch (dont la maison mère est Progress), l'application MOVEit Transfer est utilisée par les entreprises pour partager des données de manière sécurisée avec d'autres partenaires ou clients, que ce soit en HTTP, SCP ou SFTP. Cette application est disponible en mode SaaS et elle peut être aussi déployée en local sur l'infrastructure de l'entreprise.

MOVEit Transfer et la CVE-2023-34362

Désormais associée à la référence CVE-2023-34362, cette faille de sécurité est de type "injection SQL" et elle permet à un attaquant d'exécuter du code à distance sur le serveur MOVEit Transfer. Pour l'exploiter, les attaquants doivent avoir la possibilité de communiquer avec le serveur sur le port 80 ou le port 443, ce qui n'est pas sans conséquence puisqu'il n'est plus possible d'utiliser certaines fonctions, dont l'accès externe à l'interface web, l'API, et l'extension MOVEit Transfer pour Outlook.

D'après les informations disponibles sur Shodan, il y aurait plus de 2 500 serveurs MOVEit Transfer exposés sur Internet et qui représentent des cibles potentielles. À chaque fois qu'un serveur a été compromis, le webshell nommé "human2.asp" a été découvert à la racine du site web de l'application (c:\MOVEit Transfer\wwwroot\).

Le tableau ci-dessous, issu du bulletin de sécurité officiel de Progress, liste les versions affectées et les versions où la faille de sécurité zero-day est corrigée :

Si vous utilisez MOVEit Transfer on-premise, il est urgent de patcher votre serveur ou de le mettre hors ligne en attendant de le faire ! De son côté, l'agence américaine CISA a aussi émise une alerte au sujet de cette faille de sécurité zero-day.

Des attaques initiées par le gang de ransomware Clop

Le gang de ransomware Clop exploite de manière intensive la faille de sécurité dans MOVEit Transfer de façon à voler les données stockées sur ces serveurs destinés au partage de données. Cela peut aller plus loin avec la compromission de l'infrastructure, selon les attaques. Cette information est officielle puisque c'est le gang lui-même qui affirme être à l'origine de la découverte de cette vulnérabilité.

D'après les analyses menées par l'entreprise Kroll sur les serveurs de clients impactés, les cybercriminels du groupe Clop exploiteraient cette vulnérabilité depuis 2021 ! Ou en tout cas, on peut dire qu'ils commençaient à tâter le terrain, et surtout ils ont pris le temps de se préparer pour réaliser des cyberattaques massives.

Il y a des similitudes dans les actions entre les attaques récentes et des événements passés. Le rapport de Kroll précise : "L'analyse par Kroll des journaux de Microsoft IIS des clients concernés a révélé des preuves d'activités similaires dans plusieurs environnements clients l'année dernière (avril 2022) et, dans certains cas, dès juillet 2021."

Progressivement, avec le temps, les cybercriminels ont mis au point leur outil et leur méthodologie pour automatiser ces attaques et faire de l'extorsion massive de données. D'après Kroll, la campagne d'attaques automatisées s'est intensifiée à partir du 15 mai 2023, avant de devenir massive à partir du 27 mai 2023.

À ce jour, le gang de ransomware Clop aurait déjà compromis les serveurs MOVEit Transfer de plusieurs centaines d'entreprises...!

Source

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

See Full Bio