Troisième vulnérabilité de transfert MOVEit divulguée par Progress Software
Une autre vulnérabilité MOVEit Transfer, CVE-2023-35708, a été découverte cette semaine par Progress Software, la troisième que la société a divulguée, aux côtés de CVE-2023-34362 et CVE-2023-35036.
Le problème lui-même, détaillé dans un avis publié le 15 juin par la société, est une autre vulnérabilité d’injection SQL qui pourrait potentiellement permettre à des attaquants non authentifiés d’accéder à la base de données de MOVEit. Si des attaquants présentaient une charge utile dans le point de terminaison de l’application MOVEit Transfer, ils pourraient finalement modifier le contenu de la base de données. Progress Software encourage les clients de MOVEit Transfer à prendre des mesures immédiates pour renforcer leurs environnements MOVEit Transfer, notant qu’il est « extrêmement important » que les utilisateurs agissent le plus rapidement possible.
« Alors que nous continuons à enquêter sur le problème lié à MOVEit Cloud et MOVEit Transfer que nous avons signalé précédemment, une source indépendante a révélé une nouvelle vulnérabilité qui pourrait être exploitée par un mauvais acteur », selon un communiqué de presse.
Agences gouvernementales sous attaque Cl0P
La publication de l’avis détaillant la dernière vulnérabilité fait suite à la révélation par la CISA que les agences fédérales ont été affectées par l’outil de transfert aux mains du gang de rançongiciels Cl0p dans le cadre de la surabondance continue d’attaques utilisant ce qui était autrefois un bogue du jour zéro dans la plate-forme (le premier problème corrigé). Dans une déclaration à CNN, Eric Goldstein, directeur adjoint exécutif de CISA pour la cybersécurité, a déclaré que CISA fournit un soutien à plusieurs agences fédérales qui ont subi des intrusions affectant leurs applications MOVEit.
Deux victimes du ministère de l’Énergie ont été nommées : 1) Oak Ridge Associated Universities, un centre de recherche à but non lucratif, et 2) Waste Isolation Pilot Plant – un entrepreneur qui élimine les déchets d’énergie atomique.
Les cyberattaques impliquant l’utilisation du programme MOVEit Transfer ont maintenant touché plusieurs agences gouvernementales américaines, ainsi que de nombreuses autres entreprises et organisations, qui sont désormais confrontées à la perte d’informations volées, à des systèmes perturbés et parfois même aux demandes de paiement de rançons. Le nombre de victimes pourrait atteindre des centaines.
Bien qu’il n’y ait eu aucune indication que les acteurs de la menace aient encore exploité la nouvelle vulnérabilité, MOVEit a affirmé qu’il communiquait avec les clients pour protéger et créer des environnements plus sûrs.