Décidément, le logiciel de transfert sécurisé MOVEit était particulièrement vulnérable à des attaques informatiques. Progress Software, l’éditeur de ce logiciel visé par les cybercriminels de Cl0p, vient en effet de signaler trois nouvelles vulnérabilités, dont une critique, à l’occasion de la publication d’un nouveau pack de mises à jour.
La vulnérabilité la plus inquiétante (CVE-2023-36934), découverte par un chercheur de Trend Micro, permettait à un pirate informatique non authentifié d’accéder à la base de données MOVEit Transfer après une injection SQL. Même chose pour la seconde (CVE-2023-36932), à ceci près que l’attaquant devait être cette fois-ci préalablement authentifié, tandis que la troisième pouvait provoquer l’arrêt de l’application.
Extorsion sans chiffrement
Progress Software avait déjà déclaré trois autres vulnérabilités critiques depuis la découverte, le 31 mai, d’une sérieuse faille dans son logiciel de transfert. Le trou dans la raquette de l’application, une attaque par injection SQL, avait été exploité massivement par les cybercriminels de Cl0p à partir du 27 mai pour voler des documents échangés sur ce service.
Les deux autres vulnérabilités critiques découvertes (CVE-2023-35036 et CVE-2023-35708) permettaient également à un attaquant non authentifié d’élever ses privilèges, d’extraire ou de modifier la base de données du logiciel, rappelait l’Anssi dans un rapport publié il y a quelques jours. Elles n’auraient toutefois pas été exploitées par des pirates.
Au 5 juillet, les cybercriminels de Cl0p avaient cependant réussi à épingler 80 organisations à leur impressionnant tableau de chasse, dont trois entreprises françaises. Il s’agit ici d’extorsion sans chiffrement. Les cybercriminels n’ont pas cherché à déployer un rançongiciel, sans doute pour aller le plus vite possible et éviter d’être détectés. De manière classique, ils menacent désormais de publier des données volées en cas de refus de payer la rançon demandée. Des données volées sont également proposées à la vente, laissant craindre de nouvelles attaques par rebond.
Six vulnérabilités en tout
Avec un total de six failles découvertes en deux mois, la réputation de MOVEit – censé être un logiciel de transfert sécurisé – semble durablement écornée. L’éditeur fait même désormais face à une action de groupe lancée dans le Massachusetts par des plaignants, signale The Record. Mais Progress Software n’est pas le premier éditeur d’un logiciel d’une solution de transfert sécurisée à pâtir de l’intérêt des cybercriminels.
Comme le rappelle l’Anssi, plusieurs autres campagnes du même type ont été déplorées ces dernières années. Et pour cause: ces logiciels permettent “un accès immédiat à de nombreux documents, notamment des données d’intérêt”, tandis que “la recherche de vulnérabilités par la communauté de chercheurs en cybersécurité sur ces solutions semble limitée”. A ce titre, le cyber-pompier de l’Etat juge que d’autres logiciels similaires pourraient être à leur tour ciblés dans les années à venir. Mieux vaut donc être très prudent sur les données conservées sur ce genre de plateforme.