La semaine dernière, Progress Software a signalé une vulnérabilité de sécurité critique (CVE-2023-34362) dans son produit MOVEit Transfer et les solutions cloud MOVEit associées. Le groupe APT CLOP, qui a également lancé un ultimatum jusqu'au 14.06 juin, a mené des attaques massives et des vols de données sur les logiciels souvent utilisés dans le monde.
Comme son nom l'indique, MOVEit Transfer est un système qui permet de stocker et de partager facilement des fichiers au sein d'une équipe, d'un service, d'une entreprise ou même d'une chaîne d'approvisionnement. Le logiciel est également utilisé par l'AOK, par exemple. Dans le cas présent, il s'est avéré que le frontal Web de MOVEit, qui permet de partager et de gérer des fichiers via un navigateur Web, présente une vulnérabilité d'injection SQL. Ce type de partage de fichiers est très populaire car le processus est généralement considéré comme moins sujet aux fichiers mal acheminés ou "perdus" que le partage par e-mail.
De bonnes nouvelles et de mauvaises nouvelles
La bonne nouvelle dans ce cas est que Progress a corrigé toutes les versions MOVEit prises en charge ainsi que son service basé sur le cloud dès que l'entreprise a pris connaissance de la vulnérabilité. Les clients utilisant la version cloud sont automatiquement à jour. Les versions fonctionnant sur leur propre réseau doivent être activement corrigées. Les clients MOVEit doivent exécuter une analyse de compromission EN PLUS de l'installation du correctif. Patcher seul n'est PAS suffisant.
La mauvaise nouvelle est que cette vulnérabilité était une vulnérabilité zero-day, ce qui signifie que Progress l'a découvert parce que les cybercriminels l'avaient déjà exploitée. En d'autres termes, avant la publication du correctif, les bases de données backend MOVEit SQL peuvent déjà avoir été injectées avec des commandes frauduleuses, avec un certain nombre de conséquences possibles :
- Suppression des données existantes : Le résultat classique d'une attaque par injection SQL est la destruction de données à grande échelle.
- Exfiltration de données existantes : Au lieu de supprimer les tables SQL, les attaquants pourraient injecter leurs propres requêtes et ainsi non seulement apprendre la structure des bases de données internes, mais aussi extraire et voler des parties importantes.
- Changement de données existantes : Les attaquants peuvent choisir de corrompre ou de détruire des données au lieu de les voler.
- Implantation de nouveaux fichiers, y compris des logiciels malveillants : Les attaquants pourraient injecter des commandes SQL, qui à leur tour lancent des commandes système externes, permettant l'exécution arbitraire de code à distance au sein d'un réseau.
Un groupe d'attaquants que Microsoft croit être (ou sont associés à) le tristement célèbre gang de rançongiciels CLOP a apparemment déjà exploité cette vulnérabilité pour injecter des soi-disant webshells sur les serveurs concernés.
Que faire pour plus de sécurité ?
- Si vous êtes un utilisateur MOVEit, assurez-vous que toutes les instances du logiciel sur votre réseau sont corrigées.
- Si vous ne parvenez pas à appliquer le correctif pour le moment, désactivez les interfaces Web (HTTP et HTTPS) de vos serveurs MOVEit jusqu'à ce que vous le puissiez. Apparemment, cette vulnérabilité n'est révélée que via l'interface Web de MOVEit, et non via d'autres chemins d'accès tels que SFTP.
- Vérifiez vos journaux pour les fichiers de serveur Web nouvellement ajoutés, les comptes d'utilisateurs nouvellement créés et les téléchargements de données volumineux de manière inattendue. Progress a une liste d'endroits à rechercher, ainsi que les noms de fichiers et les endroits à rechercher.
- Si vous êtes un programmeur, nettoyez vos entrées.
- Si vous êtes un programmeur SQL, utilisez des requêtes paramétrées au lieu de générer des commandes de requête contenant des caractères contrôlés par la personne qui envoie la requête.
Dans la plupart, sinon la plupart, des attaques basées sur le webshell examinées à ce jour, Progress soupçonne qu'un fichier webshell malveillant nommé human2.aspx peut probablement être trouvé, éventuellement avec des fichiers malveillants nouvellement créés avec une extension .cmdline. Les produits Sophos détectent et bloquent les fichiers webshell connus sous le nom de Troj/WebShel-GO, qu'ils soient nommés human2.aspx ou non.
Cependant, il est important de se rappeler que si d'autres attaquants étaient au courant de ce jour zéro avant la publication du correctif, ils auraient peut-être injecté des commandes différentes et plus subtiles. Ceux-ci peuvent ne pas être détectés simplement en recherchant des logiciels malveillants résiduels ou en recherchant des noms de fichiers connus pouvant apparaître dans les journaux.
Le compte à rebours court jusqu'au 14.06.2023/XNUMX/XNUMX
J'ai noté la Le groupe CLOP lance un ultimatum à toutes les entreprises attaquées par le groupe APT: Les entreprises doivent signaler par e-mail à des adresses e-mail spécifiques. Après cela, ils recevraient un e-mail avec un lien vers une salle de discussion. Là, ils devraient alors négocier la demande de rançon. Toute personne qui ne se conformera pas sera mise au pilori par le CLOP : autrement dit, le nom de l'entreprise sera publié en premier. Plus tard, ils veulent également publier des parties des données capturées pour augmenter la pression.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.