Progress Software a révélé une nouvelle faille de sécurité dans l’application MOVEit Transfer, la troisième faille découverte. Le gang de cybercriminels Cl0p a exploité cette vulnérabilité pour extorquer les entreprises concernées.

Cette faille nouvellement identifiée, qui n’a pas encore d’identifiant CVE, implique une vulnérabilité par injection SQL. L’exploitation de cette vulnérabilité peut entraîner une élévation des privilèges et un accès non autorisé au système.

Pour protéger leurs environnements jusqu’à ce qu’un correctif soit disponible, Progress Software conseille à ses clients de désactiver tout le trafic HTTP et HTTPs sur les ports 80 et 443 pour MOVEit Transfer. L’entreprise travaille activement à l’élaboration d’un correctif pour remédier à cette faiblesse. La solution de transfert de fichiers gérée dans le nuage a déjà été entièrement corrigée.

Cette divulgation fait suite à l’annonce précédente par Progress Software de vulnérabilités par injection SQL (CVE-2023-35036). Ces vulnérabilités pourraient être exploitées pour accéder au contenu de la base de données de l’application concernée.

Les nouvelles vulnérabilités découvertes s’ajoutent à la CVE-2023-34362, que le gang du ransomware Clop a exploitée en tant que zero-day dans des attaques de vol de données. Kroll, une société de sécurité, a rapporté que des preuves indiquent que le gang Clop, également connu sous le nom de Lace Tempest par Microsoft, testait cet exploit depuis juillet 2021.

Lire aussi : « BatCloak Engine : Le logiciel malveillant indétectable des cybercriminels ».

Parallèlement à ce développement, les acteurs de Cl0p ont publié une liste sur leur portail de fuites du darknet, révélant 27 entreprises piratées qui, selon eux, ont été compromises à l’aide de la vulnérabilité MOVEit Transfer. Parmi les victimes figurent plusieurs agences fédérales américaines, dont le département de l’énergie, comme le rapporte CNN.

« Le nombre d’organisations potentiellement touchées jusqu’à présent est considérablement plus élevé que le nombre initial mentionné dans la précédente campagne d’exploitation MFT de Clop impliquant le MFT Fortra GoAnywhere », a déclaré ReliaQuest.

Selon Censys, une plateforme de recherche basée sur le web, environ 31 % des hôtes exposés exécutant MOVEit appartiennent au secteur des services financiers. Les soins de santé représentent environ 16 %, les technologies de l’information environ 9 % et les secteurs gouvernementaux et militaires environ 8 %. La majorité de ces serveurs, soit environ 80 %, sont situés aux États-Unis.

D’après l’analyse de Kaspersky portant sur 97 familles de logiciels malveillants diffusés via le modèle commercial MaaS (malware-as-a-service) entre 2015 et 2022, les ransomwares détiennent la plus grande part avec 58 %. Les voleurs d’informations suivent avec 24 %, tandis que les réseaux de zombies, les chargeurs et les portes dérobées représentent 18 % de la distribution.

Selon l’entreprise russe de cybersécurité, « l’argent est la racine de tous les maux, y compris de la cybercriminalité ». Kaspersky a également souligné que les systèmes MaaS permettent à des attaquants moins qualifiés techniquement de participer, réduisant ainsi la barrière d’entrée pour mener de telles attaques.