7 novembre 2024

Krusell France

Ta dose d'actu digital !

Découvrez comment se protéger de la nouvelle CVE-2024-5806 sur MOVEit Transfer

MOVEit Transfer - Faille de sécurité critique - CVE-2024-5806
Rate this post

Une nouvelle faille de sécurité majeure a été découverte et patchée dans l’application MOVEit Transfer ! Moins de 24 heures après la divulgation de cette vulnérabilité, les cybercriminels tentent déjà de l’exploiter ! Faisons le point.

Rappel sur l’application MOVEit Transfer

L’éditeur Ipswitch (dont la maison mère est Progress) commercialise l’application MOVEit Transfer, utilisée par les entreprises pour partager des données de manière sécurisée avec d’autres partenaires ou clients, que ce soit en HTTP, SCP ou SFTP. Cette application est disponible en mode SaaS et elle peut être aussi déployée en local sur l’infrastructure de l’entreprise.

Il y a environ un an, plusieurs failles de sécurité avaient été découvertes et corrigées dans MOVEit Transfer. Tout au long de l’année, différents groupes de cybercriminels (dont le ransomware Clop) ont exploité ces vulnérabilités pour compromettre le réseau des organisations : Sony, Siemens Energy, CCleaner, etc… La liste de victimes est très longue. Espérons que cette fois-ci, ce ne soit pas aussi catastrophique.

Associée à la référence CVE-2024-5806, la nouvelle faille de sécurité permet à un attaquant d’outrepasser le processus d’authentification du module SFTP de MOVEit Transfer. Ce dernier étant nécessaire pour effectuer des transferts de fichiers par l’intermédiaire du protocole SSH. L’exploitation de cette vulnérabilité donne l’opportunité à l’attaquant de lire les fichiers hébergés sur le serveur MOVEit Transfer, et même de modifier ou supprimer ces données, ainsi que d’en charger de nouvelles.

2 700 serveurs MOVEit Transfer potentiellement vulnérables

Le bulletin de sécurité de Progress pour cette faille de sécurité critique a été publié le 25 juin 2024. Moins de 24 heures plus tard, il y a déjà un rapport technique complet disponible sur le site de watchTowr, ainsi qu’un exploit PoC disponible sur GitHub. De son côté, The Shadowserver Foundation affirme sur X (Twitter) avoir observé des tentatives d’exploitation de cette vulnérabilité.

Un rapport de Censys évoque le nombre de serveurs MOVEit Transfer exposés sur Internet, et donc, potentiellement vulnérables : environ 2 700 serveurs. Un chiffre qui évolue légèrement chaque jour. Autant de serveurs qui doivent se protéger de la CVE-2024-5806.

“La majorité des instances MOVEit exposées que nous avons observées se trouvent aux États-Unis, mais d’autres expositions ont été observées au Royaume-Uni, en Allemagne, aux Pays-Bas et au Canada, et dans d’autres pays.”, peut-on lire dans le rapport.

Voici la carte globale de Censys :

Comment se protéger de la CVE-2024-5806 ?

Avant de parler du correctif, parlons des versions vulnérables. À ce sujet, Progress précise : “Ce problème affecte MOVEit Transfer : de 2023.0.0 à 2023.0.11, de 2023.1.0 à 2023.1.6, de 2024.0.0 à 2024.0.2.”

Voici la liste des versions comprenant ce correctif :

MOVEit Transfer 2023.0.11

MOVEit Transfer 2023.1.6

MOVEit Transfer 2024.0.2

Si vous ne pouvez pas patcher dès maintenant, limitez les flux entrants et sortants sur le serveur MOVEit Transfer afin d’autoriser uniquement les hôtes de confiance à se connecter.

Source

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications