Faille hautement critique dans MOVEit : le commentaire de Tenable
juin 2024 par Scott Caveza, directeur de l’ingénierie de recherche, Tenable
Ce mardi, Progress Software a corrigé un contournement d’authentification hautement critique dans la solution de transfert de fichiers gérés (MFT) MOVEit, qui a déjà été une cible populaire des gangs de ransomware et d’autres acteurs malveillants l’année dernière. Le commentaire de Scott Caveza, Staff Research Engineer chez Tenable :
"CVE-2024-5806, la vulnérabilité de contournement d’authentification récemment divulguée par Progress Software, affecte sa solution de transfert de fichiers gérés (MFT) MOVEit. MOVEit a été au cœur d’une campagne massive de ransomware en mai 2023, lorsque le gang de ransomware CLOP a commencé à exploiter en masse une vulnérabilité d’injection SQL zero day (CVE-2023-34362) affectant MOVEit Transfer.
Cette attaque a eu un impact majeur sur des centaines d’organisations dans le monde entier et cette nouvelle vulnérabilité soulève de nombreuses questions et inquiétudes pour les utilisateurs du logiciel. CVE-2024-5806 est une vulnérabilité critique, mais d’après l’analyse détaillée et le code d’exploitation des chercheurs de watchTowr, il semble qu’elle ne soit pas facilement exploitable et qu’elle exige qu’un attaquant prenne des mesures supplémentaires afin d’exploiter une cible potentielle. Bien que les détails sur la manière dont cette exploitation fonctionne soient accessibles au public, watchTowr a confirmé que Progress a contacté les clients concernés avant de rendre publique son alerte de sécurité.
Bien que ce ne soit pas la première fois que nous voyons un fournisseur prendre des mesures pour avertir et sécuriser ses clients avant de reconnaître publiquement une vulnérabilité, cela aurait pu être une décision risquée. Une personne inconnue a informé watchTowr de la vulnérabilité bien avant qu’elle ne soit connue du public. Si cette personne avait des intentions malveillantes, cette information aurait pu être communiquée facilement à des groupes d’acteurs malveillants pour qu’ils développent un exploit et profitent de la faille. Bien qu’il y ait beaucoup d’inconnues autour de la faille à l’heure actuelle, nous n’avons pas encore vu de reconnaissance d’exploitation in the wild. Malgré cela, nous recommandons vivement à nos clients de corriger cette vulnérabilité dès que possible."