16/12/2024

Actu Cybersécurité

Une nouvelle faille zero-day dans MOVEit Transfer, la troisième alerte en quelques semaines !

La société Progress a émis une nouvelle alerte de sécurité pour sa solution MOVEit Transfer : c'est la troisième en quelques semaines. Encore une fois, c'est une injection SQL et la situation est critique, car le correctif n'est pas encore disponible. Faisons le point.

Cette nouvelle faille de sécurité, qui n'a pas encore de référence CVE, correspond encore une fois à une injection SQL. Dans son bulletin de sécurité, l'éditeur précise : "Progress a découvert une vulnérabilité dans MOVEit Transfer qui pourrait conduire à une élévation des privilèges et à un accès non autorisé à l'environnement."

Cette nouvelle alerte ferait suite à la mise en ligne d'un nouveau PoC sur Twitter correspondant à une faille de sécurité zero-day dans MOVEit Transfer. Celle-ci serait nouvelle, avec son propre chemin d'attaque et ne serait pas une autre méthode d'exploiter une vulnérabilité découverte récemment.

Du côté de MOVEit Transfer, les alertes s'enchaînent puisqu'il y a déjà eu deux autres failles critiques corrigées ces dernières semaines : CVE-2023-35036 et CVE-2023-34362. Avec à la clé de nombreuses cyberattaques orchestrées par le gang de ransomware Clop. À ce sujet connait le nom de certaines victimes : Shell, Université de Géorgie, Zellis, Ofcam, Université de Rochester, Extreme Networks, ou encore l'Etat du Missouri.

Désormais, il y a une troisième vulnérabilité qui impact cette solution de partage de données.

Comment se protéger ?

Pour le moment, il n'y a pas de correctif disponible : des tests sont en cours. Enfin, il y a tout de même un correctif pour certaines versions spécifiques qui consiste à écraser une DLL spécifique sur son serveur MOVEit Transfer. Il s'agit d'un patch temporaire en attendant une nouvelle version de l'application.

Preuve que la situation était critique, Progress a pris la décision de bloquer tout le trafic HTTP et HTTPS à destination des instances Cloud de MOVEit Transfer. Désormais, les instances en mode SaaS sont patchées et opérationnelles : "MOVEit Cloud a été corrigé et entièrement restauré dans tous les clusters."

D'ailleurs, cette mesure qui consiste à bloquer le trafic HTTP et HTTPS est fortement recommandée pour tous les clients de MOVEit Transfer, tant que leur serveur n'est pas protégé contre cette vulnérabilité. Cela n'est pas sans impact puisqu'il n'est plus possible de se connecter à l'interface Web, ainsi qu'aux différentes APIs. Enfin, ce sont surtout les flux externes qui sont à bloquer.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.