La poussière ne s’est même pas retombée correctement autour du fiasco GoAnywhere MFT, et nous avons déjà une autre solution de transfert de fichiers sécurisé d’entreprise violée et abusée pour le vol de données.
Cette fois, il s’agit de MOVEit Transfer, une solution de transfert de fichiers géré (MFT) conçue par Ipswitch, une filiale d’une société appelée Progress.
La société a confirmé la découverte d’une vulnérabilité « critique » et a exhorté ses utilisateurs à appliquer immédiatement une solution de contournement en prévision d’un correctif officiel.
Escalade des privilèges
« Progress a découvert une vulnérabilité dans MOVEit Transfer qui pourrait entraîner une élévation des privilèges et un accès non autorisé potentiel à l’environnement », indique l’annonce de la société.
« Si vous êtes un client MOVEit Transfer, il est extrêmement important que vous preniez des mesures immédiates comme indiqué ci-dessous afin d’aider à protéger votre environnement MOVEit Transfer, pendant que notre équipe produit un correctif. »
La société indique que les utilisateurs doivent bloquer le trafic externe vers les ports 80 et 443, ce qui empêchera très probablement l’accès externe à l’interface utilisateur Web, ainsi que certaines tâches d’automatisation. Les API cesseront de fonctionner, tout comme le plug-in Outlook, mais les clients peuvent toujours utiliser les protocoles SFTP et FTP/s pour transférer des fichiers entre les terminaux.
De plus, les utilisateurs doivent inspecter le dossier ‘c:MOVEit Transferwwwroot’ à la recherche de fichiers inattendus, de sauvegardes ou de téléchargements de fichiers volumineux, car cela semble être le principal indicateur de compromission, a également signalé BleepingComputer.
Les détails sur la faille et ses agresseurs eux-mêmes manquent toujours. Nous savons que c’est un jour zéro et qu’il peut être utilisé pour extraire des fichiers sensibles des utilisateurs. Les chercheurs en cybersécurité de Rapid7 pensent qu’il s’agit d’une faille d’injection SQL qui permet l’exécution de code à distance. Aucun CVE n’a encore été attribué.
Nous ne connaissons pas non plus l’impact de la faille, mais BleepingComputer a déclaré que ses sources lui ont dit que « de nombreuses organisations » se sont fait voler leurs données jusqu’à présent. Il existe au moins 2 500 serveurs de transfert exposés, principalement situés aux États-Unis.
Il est prudent de supposer que les attaquants essaieront d’extorquer de l’argent aux victimes, en échange de la confidentialité des données.
Via : BleepingComputer