MOVEit Transfer est un logiciel sécurisé de transfert de fichiers géré (MFT) qui permet aux organisations de transférer des fichiers de manière sûre et efficace. Cependant, une vulnérabilité critique de type « zero-day » dans MOVEit Transfer a été exploitée par des acteurs menaçants pour voler des données à diverses organisations dans différents secteurs et régions.
Détails de la vulnérabilité
La vulnérabilité, identifiée comme CVE-2023-34362, est une faille d’injection SQL qui affecte l’application web MOVEit Transfer. Un attaquant distant non authentifié peut exploiter cette faille en envoyant une requête spécialement conçue à une instance vulnérable de MOVEit Transfer. Une exploitation réussie permettrait à l’attaquant d’accéder à l’instance MOVEit Transfer sous-jacente et à la base de données contenant des informations sensibles.
Méthode d’attaque et acteurs de la menace
Selon les rapports, des preuves d’exploitation sont apparues pour la première fois le 27 mai 2023, conduisant au déploiement de web shells et au vol de données qui s’en est suivi. Les acteurs de la menace à l’origine de cette campagne, désignés par Mandiant sous le nom de UNC4857, n’ont pas encore été identifiés, mais ils ont été observés en train d’exploiter cette vulnérabilité de manière intensive.
Web Shell LEMURLOOT
UNC4857 utilise un web shell appelé LEMURLOOT, déguisé en « human.aspx », un composant légitime du logiciel MOVEit Transfer. LEMURLOOT fournit des fonctionnalités conçues pour être exécutées sur les systèmes MOVEit Transfer, notamment l’énumération de fichiers et de dossiers, la récupération d’informations de configuration et la création ou la suppression d’un utilisateur avec un nom codé en dur.
Vol de données et intégration Azure
L’analyse initiale suggère que LEMURLOOT est principalement utilisé pour voler des données précédemment téléchargées à partir de systèmes MOVEit Transfer individuels. Mandiant a documenté des cas où des volumes importants de fichiers ont été volés sur les systèmes MOVEit Transfer des victimes. En outre, LEMURLOOT peut voler des informations sur le stockage Azure Blob, y compris les informations d’identification des paramètres de l’application MOVEit Transfer, ce qui implique que les acteurs qui exploitent cette vulnérabilité peuvent cibler des fichiers stockés dans le stockage Azure Blob.
Implications plus larges
Ce n’est pas la première fois qu’une vulnérabilité zero-day dans une solution MFT est exploitée en 2023. En février, Fortra (anciennement HelpSystems) a révélé une vulnérabilité de type « zero-day » d’injection de commande avant authentification dans sa solution MFT GoAnywhere, qui a également été utilisée pour le vol de données. La découverte et l’exploitation de ces vulnérabilités de type « zero-day » dans les solutions MFT constituent une menace sérieuse pour les organisations qui s’appuient sur ces solutions pour le transfert sécurisé de fichiers, mettant en péril des données sensibles telles que les dossiers financiers, les informations personnelles, la propriété intellectuelle et les dossiers médicaux.
Mesures de mitigation
Pour atténuer cette menace, les entreprises doivent appliquer rapidement les derniers correctifs fournis par Progress Software pour MOVEit Transfer. Progress Software a également publié des solutions de contournement et d’atténuation pour les clients qui ne sont pas en mesure d’appliquer les correctifs immédiatement. En outre, les entreprises doivent surveiller leurs systèmes MOVEit Transfer pour détecter tout signe de compromission ou d’activité suspecte, comme un trafic réseau ou des transferts de fichiers inhabituels.
Améliorer la réponse aux incidents
Les organisations devraient envisager d’adopter des outils d’automatisation et de collaboration pour améliorer leurs capacités de réponse aux incidents de cybersécurité. L’automatisation peut réduire considérablement le temps et les efforts nécessaires pour répondre, enquêter et contenir les incidents, tandis que la collaboration favorise l’amélioration de la communication et de la coordination entre les différentes équipes et parties prenantes. L’utilisation d’outils d’automatisation et de collaboration permet aux fournisseurs de services de réponse aux incidents de cybersécurité de gérer efficacement la vague de cyberattaques et d’aider autant de clients que possible dans la limite des ressources disponibles.
Sources:
[3] https://www.mandiant.com/resources/blog/zero-day-moveit-data-theft
[4] https://gridinsoft.com/blogs/moveit-mft-0day-vulnerability/
[5] https://www.infosecurity-magazine.com/news/zero-day-exploited-moveit-transfer/