jeudi, 18 avril 2024

Une troisième vulnérabilité MOVEit corrigée, Cl0p répertorie les organisations victimes (CVE-2023-35708)

Development Software a en fait demandé à ses clients de mettre à jour à nouveau leurs installations de MOVEit Transfer, pour corriger une troisième vulnérabilité d’injection SQL (CVE-2023-35708) découverte dans l’application Web en moins d’un mois.

Auparavant, le gang de cyber-extorsion Cl0p exploitait CVE-2023-34362 pour obtenir des informations commerciales, et les scientifiques de Huntress ont découvert CVE-2023-35036 après s’être associés à Progress pour effectuer une révision du code de l’application Web.

À propos de CVE-2023-35708

CVE-2023-35708 est une vulnérabilité qui pourrait entraîner des avantages intensifiés et un accès non approuvé à.

« Un agresseur peut soumettre une charge utile conçue à un MOVEit Point de terminaison de l’application de transfert qui pourrait entraîner l’ajustement et la divulgation du contenu de la base de données MOVEit », a déclaré jeudi l’entreprise.

La vulnérabilité a été corrigée dans les versions 2021.0.8 (13.0.8) et 2021.1 de MOVEit Transfer. 6 (13.1.6), 2022.0.6 (14.0.6), 2022.1.7 (14.1.7) et 2023.0.3 (15.0.3).

La divulgation publique de la faille a eu lieu avant Le développement a créé une réparation.

« Nous n’avons en fait vu aucune preuve que la vulnérabilité signalée le 15 juin [c’est-à-dire, CVE-2023-35708] a été utilisée », a déclaré l’entreprise dimanche.

« Mettre MOVEit Cloud hors ligne pour l’entretien était une mesure défensive pour protéger nos consommateurs et non en réponse à une activité destructrice. Étant donné que la nouvelle vulnérabilité que nous avons signalée le 15 juin avait été ouvertement publiée en ligne, il était essentiel que nous prenions des mesures immédiates avec beaucoup de soin pour corriger rapidement la vulnérabilité et désactiver MOVEit Cloud. »

Cl0p expose les victimes

Entre-temps, Cl0p a en fait commencé à divulguer les noms des organisations dont ils ont obtenu les informations en utilisant CVE-2023-34362.

La liste comprend la société pétrolière et gazière internationale Shell , un certain nombre de banques, de sociétés de médias, d’universités, de 2 entités du département américain de l’énergie (Oak Ridge Associated Universities et un spécialiste d’Oak Ridge National Lab), du département des transports de l’Oregon, et bien plus encore.

« CLOP a déclaré que les données du gouvernement fédéral seront supprimées et non conservées ou partagées. C’est probablement dans le but de ne pas « piquer l’ours » et de tomber en dessous d’une ligne qui accueille l’action d’autorités compétentes, bien qu’il soit peu probable que leur parole seule suffise à couper beaucoup de moutarde », a rappelé Tim West, responsable du renseignement sur les risques chez WithSecure. .

Grâce à son programme Rewards for Justice, le Département d’État des États-Unis a en fait offert une récompense financière substantielle aux personnes qui « ont des informations reliant CL0P Ransomware Gang ou tout autre cyber-acteur destructeur ciblant l’infrastructure vitale américaine à un étranger gouvernement fédéral. »

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici