Deux nouvelles vulnérabilités viennent d’être découvertes par l’éditeur du logiciel de transfert sécurisé MOVEit, Progress Software. Ce dernier les a signalées il y a quelques jours. Les deux failles découvertes sont toutes les deux considérées comme critiques – au départ, leur dangerosité avait été estimée à « élevée ».
Elles permettent en effet à un attaquant de contourner le système d’authentification. Et donc de mettre la main sur les données échangées via cette plateforme en ligne, pourtant censées rester confidentielles.
L’éditeur appelle désormais ses utilisateurs à bloquer l’accès RDP entrant à MOVEit Transfer, et à limiter l’accès sortant aux seuls serveurs de confiance. Même si un correctif a été distribué le 11 juin dernier, qui comble les failles, les vulnérabilités « introduisent un nouveau risque », avertit l’entreprise.
Attaques en cours
Comme le rappelle le Centre de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) de l’Anssi, il existe en effet déjà des codes d’exploitation publics des vulnérabilités. Avec donc des attaques potentiellement déjà en cours.
Shadowserver, une fondation dédiée à la recherche sur les activités malveillantes, a par exemple signalé le très bref laps de temps écoulé entre le dévoilement des failles et leur exploitation. Selon ses données, il y aurait 337 instances vulnérables en Europe. L’entreprise de sécurité informatique Censys a elle compté 2700 instances MOVEit Transfert vulnérables en ligne, principalement aux Etats-Unis.
Les cybercriminels de Cl0p
Si les deux nouvelles failles découvertes inquiètent autant, c’est parce que les piratages autour de MOVEit ont été la plaie majeure de l’année 2023. Le hack, qui avait débuté en mai 2023, s’était ainsi soldé, selon l’entreprise de sécurité informatique Emsisoft, par 2691 organisations victimes, soit 96 millions de personnes concernées.
L’entreprise estimait qu’avec un coût moyen de 165 dollars par violation de données, le piratage pouvait représenter au final un préjudice potentiel de 15 milliards de dollars. L’action malveillante a été revendiquée par les cybercriminels de Cl0p, un groupe russophone de pirates expérimentés. On ignore si ces derniers sont à nouveau en train d’essayer de passer par les brèches du logiciel de Progress Software.