Il existe de toutes nouvelles informations sur la vulnérabilité zero-day de la solution MOVEit Transfer de Progress Software utilisée par les opposants et, plus important encore, des correctifs et des instructions utiles pour les clients.
Le MOVEit Transfer zero-day et l’avis d’atténuation et de correction mis à jour
L’application du logiciel de développement a effectivement mis à jour l’avis de sécurité et vérifié que la vulnérabilité (toujours sans numéro CVE) est une injection SQL vulnérabilité dans l’application Web MOVEit Transfer qui pourrait permettre à un ennemi non authentifié d’obtenir un accès non autorisé à la base de données de MOVEit Transfer.
« Selon le moteur de base de données utilisé (MySQL, Microsoft SQL Server ou Azure SQL), un agresseur peut être en mesure de présumer des informations sur la structure et le contenu de la base de données en plus d’effectuer des déclarations SQL qui modifient ou effacent des éléments de la base de données », ont-ils expliqué.
Toutes les versions de MOVEit Transfer sont affectées par la faille.
L’avis contient également des liens vers des versions réparées, des signes de compromis (IoC) — scripts, webshells, adresses IP C2, comptes d’utilisateurs — et suggestions de nettoyage plus complètes, notamment :
- Désactivation de tout le trafic HTTP et HTTPs vers l’environnement MOVEit Transfer
- Suppression de fichiers et de comptes d’utilisateurs non autorisés et réinitialisation des informations d’identification
- Utilisation du correctif/mise à jour de la configuration vers une variante réparée
- Autorisation de tout le trafic HTTP et HTTPs vers l’environnement MOVEit Transfer
- Inspecter que les fichiers ont effectivement été effectivement supprimés et qu’il ne reste aucun compte non approuvé – s’ils ne l’ont pas été, effectuez le nettoyage et réinitialisez à nouveau les informations d’identification du compte de service
- Si le nettoyage -up a en fait réussi, les organisations doivent surveiller le réseau, les terminaux et les journaux pour les IoC
Les scientifiques de Huntress, TrustedSec et Rapid7 ont examiné le webshell/la porte dérobée, publié les signatures YARA et les directives SIGMA les défenseurs peuvent utiliser pour identifier les IoC et rechercher des fichiers suspects, et ont partagé plus d’informations techniques sur les attaques.
Ce fil Reddit est également une excellente source d’informations et de bits les plus récents, dont certains sont relativement fournis par des administrateurs système anonymes et des professionnels de la sécurité dans certaines des organisations compromises.
Les retombées
Le nombre d’organisations réellement touchées n’est toujours pas identifié, mais Rapid7 affirme que ses équipes de services gérés observent exploitation de la faille dans plusieurs environnements grand public.
« Huntress a identifié moins de dix entreprises avec cette application logicielle MOVEit Transfer dans notre base de partenaires, cependant, Shodan recommande qu’il y ait plus de 2 500 serveurs librement disponibles sur le Web ouvert. De notre couple d’entreprises, une seule a vu une chaîne d’attaque complète et tous les indicateurs correspondants de compromis », a déclaré John Hammond, chasseur de dangers et scientifique chez Huntress.
La plupart des serveurs connectés à Internet sont situés aux États-Unis.
Le scientifique en sécurité Kevin Beaumont a déclaré que « les webshells ont commencé à être plantés quelques semaines plus tôt » et qu’il a en fait été informé de « de nombreux incidents survenus dans plusieurs organisations tout au long de cette période qui ont repéré une activité. »
Il semble que même si l’exfiltration de données découverte s’est produite tout au long du week-end du Memorial Day, les préparatifs étaient en cours pendant des semaines (voire des mois).
Beaumont dit également qu’il était « de manière fiable informé » cet événement a également affecté l’offre MOVEit SaaS (MOVEit Cloud), que Progress Software a supprimée.
Jusqu’à présent, aucun rapport n’a fait état d’opposants demandant de l’argent aux organisations concernées pour récupérer les informations récupérées.
Toute l’actualité en temps réel, est sur L’Entrepreneur
