Une vulnérabilité critique récemment découverte dans un logiciel largement utilisé expose de vastes pans d’Internet à des risques de piratage dévastateur, et les attaquants ont déjà commencé à tenter activement de l’exploiter dans le cadre d’attaques réelles, préviennent les chercheurs.
Le logiciel, connu sous le nom de MOVEit et vendu par Progress Software, permet aux entreprises de transférer et de gérer des fichiers à l’aide de diverses spécifications, notamment les protocoles SFTP, SCP et HTTP, et de manière conforme aux réglementations imposées par PCI et HIPAA. Au moment où cet article a été publié, des analyses Internet ont indiqué qu’il était installé sur près de 1 800 réseaux à travers le monde, le plus grand nombre étant aux États-Unis. Une analyse distincte réalisée mardi par la société de sécurité Censys a révélé 2 700 cas de ce type.
Provoquer le chaos avec une chaîne nulle
L’année dernière, une vulnérabilité critique de MOVEit a conduit à la compromission de plus de 2 300 organisations, dont Shell, British Airways, le ministère américain de l’Énergie et le registre des naissances du gouvernement de l’Ontario, BORN Ontario, ce dernier ayant conduit à la compromission des informations de 3.4. millions de personnes.
Mardi, Progress Software a dévoilé la vulnérabilité CVE-2024-5806 qui permet aux pirates de contourner l’authentification et d’accéder à des données sensibles. La vulnérabilité, découverte dans le module SFTP de MOVEit, est classée 9,1 sur 10. Quelques heures après que la vulnérabilité a été rendue publique, des pirates informatiques ont déjà tenté de l’exploiter, ont indiqué des chercheurs de l’organisation Shadowserver.
Une analyse technique approfondie réalisée par des chercheurs de la société de sécurité offensive watchTowr Labs a révélé que la vulnérabilité, découverte dans le module SFTP de MOVEit, peut être exploitée dans au moins deux scénarios d’attaque. L’attaque la plus puissante permet aux pirates d’utiliser une chaîne nulle (un concept de programmation pour aucune valeur) comme clé de chiffrement publique lors du processus d’authentification. Le pirate peut ainsi se connecter en tant qu’utilisateur de confiance existant.
« Il s’agit d’une attaque dévastatrice », ont écrit les chercheurs de watchTowr Labs. « Cela permet à toute personne capable de placer une clé publique sur le serveur de prendre l’identité de n’importe quel utilisateur SFTP. À partir de là, cet utilisateur peut effectuer toutes les opérations habituelles : lire, écrire ou supprimer des fichiers, ou autrement provoquer le chaos.
Une attaque distincte décrite par les chercheurs de watchTowr permet aux attaquants d’obtenir des hachages cryptographiques masquant les mots de passe des utilisateurs. Il fonctionne en manipulant les chemins de clé publique SSH pour exécuter une « authentification forcée » à l’aide d’un serveur SMB malveillant et d’un nom d’utilisateur valide. La technique exposera le hachage cryptographique masquant le mot de passe de l’utilisateur. Le hachage, à son tour, doit être craqué.
Les chercheurs ont déclaré que les exigences liées au téléchargement d’une clé publique sur un serveur vulnérable ne constituent pas un obstacle particulièrement important à franchir pour les attaquants, car l’objectif principal de MOVEit est de transférer des fichiers. Il n’est pas non plus particulièrement difficile d’apprendre ou de deviner les noms des comptes d’utilisateurs d’un système. Le message de watchTowr a également noté que leurs exploits utilisent IPWorks SSH, un produit commercial que Progress Software étend dans MOVEit.
L’avis de Progress Software indique : « Une vulnérabilité récemment identifiée dans un composant tiers utilisé dans MOVEit Transfer augmente le risque du problème d’origine mentionné ci-dessus si elle n’est pas corrigée. Bien que le correctif distribué par Progress le 11 juin corrige avec succès le problème identifié dans CVE-2024-5806, cette vulnérabilité tierce récemment révélée introduit un nouveau risque. »
Le message conseille aux clients de s’assurer que l’accès RDP entrant aux serveurs MOVEit est bloqué et de restreindre l’accès sortant aux points de terminaison de confiance connus à partir des serveurs MOVEit. Un représentant de l’entreprise a refusé de dire si ce composant était IPWorks SSH.
La vulnérabilité affecte les versions de MOVEit Transfer :
- 2023.0.0 avant 2023.0.11
- 2023.1.0 avant 2023.1.6
- 2024.0.0 avant 2024.0.2
Les correctifs pour 2023.0.11, 2023.1.6 et 2024.0.2 sont disponibles ici, ici et ici, respectivement. Les utilisateurs de MOVEit peuvent vérifier la version qu’ils utilisent en utilisant ce lien.
Compte tenu des dégâts causés par l’exploitation massive de la vulnérabilité MOVEit de l’année dernière, il est probable que cette dernière suive une voie similaire. Les administrateurs concernés doivent s’efforcer de déterminer en priorité s’ils sont vulnérables et réagir de manière appropriée. Des analyses et des conseils supplémentaires sont disponibles ici et ici.