Logiciel de transfert de fichiers MOVEit Alerte du jour zéro - ce qui s'est passé et ce qu'il faut faire maintenant

Au début du mois, Progress Software, le spécialiste des logiciels d'infrastructure d'application pour la construction, l'intégration et la gestion d'environnements professionnels, a signalé une vulnérabilité critique (CVE-2023-34362) dans son produit MOVEit Transfer et les solutions cloud MOVEit associées.

Comme son nom l'indique, MOVEit Transfer est un système qui permet de stocker et de partager facilement des fichiers entre équipes, départements, entreprises et même chaînes d'approvisionnement. Dans ce cas, il a été constaté que l'interface web de MOVEit, qui permet le partage et la gestion des fichiers via un navigateur web, présentait une vulnérabilité d'injection SQL. Ce type de partage de fichiers est populaire, car on considère généralement que la probabilité que l'opération soit mal orientée ou "perdue" est plus faible que pour le partage par e-mail.

La bonne nouvelle dans ce cas est que Progress a appliqué un correctif à toutes les versions de MOVEit prises en charge, ainsi qu'à son service basé sur le cloud, dès qu'elle a eu connaissance de la faille de sécurité. Les clients utilisant la version cloud sont automatiquement mis à jour, les versions exécutées sur leur propre réseau doivent être activement patchées.

La mauvaise nouvelle, c'est que cette vulnérabilité est une vulnérabilité "zero-day", ce qui signifie que Progress l'a découverte parce que des cybercriminels l'ont exploitée. En d'autres termes, les commandes frauduleuses ont pu être introduites dans la base de données MOVEit SQL Server avant la publication du correctif, ce qui pourrait entraîner un certain nombre de conséquences possibles:

• Suppression des données existantes. Le résultat classique d'une attaque par injection SQL est la destruction de données à grande échelle.
• Exfiltration de données existantes. Au lieu de supprimer les tables SQL, les attaquants pourraient introduire leurs propres requêtes et ainsi non seulement apprendre la structure des bases de données internes, mais aussi extraire et voler des parties importantes.
• Modification de données existantes. Les attaquants pourraient décider d'endommager ou de détruire des données plutôt que de les voler.
• Implantation de nouveaux fichiers, y compris des logiciels malveillants. Les attaquants pourraient introduire des commandes SQL qui, à leur tour, lanceraient des commandes système externes, permettant ainsi une exécution de code arbitraire à distance au sein d'un réseau.

Un groupe d'attaquants, que Microsoft pense appartenir (ou être lié) au fameux groupe de ransomware Clop, a apparemment exploité cette vulnérabilité pour injecter des "web shells" dans les serveurs concernés.

Que faut-il faire?

• Si vous êtes utilisateur de MOVEit, assurez-vous que toutes les instances du logiciel sur votre réseau sont patchées.
• Si vous ne pouvez pas appliquer de correctifs actuellement, désactivez les interfaces basées sur le Web (HTTP et HTTPS) vers vos serveurs MOVEit jusqu'à ce que vous puissiez le faire. Apparemment, cette vulnérabilité n'est détectée que par l'interface web de MOVEit, et non par d'autres voies d'accès comme SFTP.
• Cherchez dans vos journaux les fichiers de serveur web récemment ajoutés, les comptes d'utilisateurs nouvellement créés et les téléchargements de données d'une taille inattendue. Progress dispose d'une liste d'emplacements à explorer ainsi que des noms de fichiers et des emplacements à rechercher.
• Si vous êtes programmeur, nettoyez vos entrées.
• Si vous êtes un programmeur SQL, utilisez des requêtes paramétrées au lieu de générer des commandes de requête contenant des caractères contrôlés par la personne qui envoie la requête.

Progress suggère que de nombreuses, sinon la plupart, des attaques de shell web étudiées jusqu'à présent pourraient contenir un fichier de shell web trompeur appelé human2.aspx, peut-être avec d'autres fichiers malveillants portant l'extension .cmdline. Les produits Sophos détectent et bloquent les fichiers de shell Web appelés Troj/WebShel-GO, qu'ils s'appellent human2.aspx ou non.

Il faut cependant garder à l'esprit que si d'autres attaquants étaient au courant de ce jour zéro avant la publication du correctif, ils pourraient avoir introduit des commandes différentes et potentiellement plus subtiles qui ne peuvent pas être détectées par un simple contrôle des malwares résiduels ou par la recherche de noms de fichiers connus qui peuvent apparaître dans les journaux.