Une vulnérabilité critique récemment découverte dans un logiciel largement utilisé expose de vastes pans d'Internet à des risques de piratage dévastateurs, et les attaquants ont déjà commencé à essayer activement de l'exploiter dans des attaques réelles, préviennent les chercheurs.
Le logiciel, connu sous le nom de MOVEit et vendu par Progress Software, permet aux entreprises de transférer et de gérer des fichiers à l'aide de diverses spécifications, notamment les protocoles SFTP, SCP et HTTP, et de manière conforme aux réglementations imposées par la loi. PCI et HIPAA. Au moment de la mise en ligne de ce message, Internet analyse indiqué il a été installé dans près de 1 800 réseaux à travers le monde, le plus grand nombre étant aux États-Unis. Une analyse distincte effectuée mardi par la société de sécurité Censys trouvé 2 700 cas de ce type.
Provoquer le chaos avec une chaîne nulle
L'année dernière, une vulnérabilité critique de MOVEit a conduit à la compromis de plus de 2 300 organisationsy compris Shell, British Airways, le ministère de l'Énergie des États-Unis et le registre des naissances du gouvernement de l'Ontario, BORN Ontario, ce dernier ayant conduit à la compromission des informations de 3,4 millions de personnes.
Mardi, Progress Software divulgué CVE-2024-5806, une vulnérabilité qui permet aux attaquants de contourner l'authentification et d'accéder aux données sensibles. La vulnérabilité, trouvée dans le MOVEit SFTP module, porte un indice de gravité de 9,1 sur 10. Quelques heures après que la vulnérabilité ait été rendue publique, des pirates informatiques tentaient déjà de l'exploiter, ont déclaré des chercheurs de l'organisation Shadowserver. dit.
UN analyse technique approfondie Selon des chercheurs de la société de sécurité offensive watchTowr Labs, la vulnérabilité trouvée dans le module MOVEit SFTP peut être exploitée dans au moins deux scénarios d'attaque. L'attaque la plus puissante permet aux pirates d'utiliser une chaîne nulle (un concept de programmation sans valeur) comme clé de chiffrement publique lors du processus d'authentification. En conséquence, le pirate informatique peut se connecter en tant qu’utilisateur de confiance existant.
“Il s'agit d'une attaque dévastatrice”, ont écrit les chercheurs de watchTowr Labs. « Cela permet à toute personne capable de placer une clé publique sur le serveur de prendre l'identité de n'importe quel utilisateur SFTP. À partir de là, cet utilisateur peut effectuer toutes les opérations habituelles : lire, écrire ou supprimer des fichiers, ou autrement provoquer le chaos.
Une attaque distincte décrite par les chercheurs de watchTowr permet aux attaquants d'obtenir des hachages cryptographiques masquant les mots de passe des utilisateurs. Il fonctionne en manipulant les chemins de clé publique SSH pour exécuter une « authentification forcée » à l'aide d'un outil malveillant. PME serveur et un nom d'utilisateur valide. La technique exposera le hachage cryptographique masquant le mot de passe de l'utilisateur. Le hachage, à son tour, doit être craqué.
Les chercheurs ont déclaré que les exigences de téléchargement d'une clé publique sur un serveur vulnérable ne constituent pas un obstacle particulièrement difficile à franchir pour les attaquants, car l'objectif principal de MOVEit est de transférer des fichiers. Il n'est pas non plus particulièrement difficile d'apprendre ou de deviner les noms des comptes d'utilisateurs d'un système. Le post de watchTowr a également noté que leurs exploits utilisent IPWorks SSHun produit commercial que Progress Software étend dans MOVEit.
L'avis de Progress Software indiquait : « Une vulnérabilité nouvellement identifiée dans un composant tiers utilisé dans MOVEit Transfer augmente le risque du problème initial mentionné ci-dessus s'il n'est pas corrigé. Bien que le correctif distribué par Progress le 11 juin corrige avec succès le problème identifié dans CVE-2024-5806, cette vulnérabilité tierce récemment divulguée introduit un nouveau risque.
Le message conseillait aux clients de s'assurer que les données entrantes RDP l'accès aux serveurs MOVEit est bloqué et pour restreindre l'accès sortant aux points de terminaison de confiance connus à partir des serveurs MOVEit. Un représentant de l'entreprise a refusé de dire si ce composant était IPWorks SSH.
La vulnérabilité affecte les versions de MOVEit Transfer :
- 2023.0.0 avant 2023.0.11
- 2023.1.0 avant 2023.1.6
- 2024.0.0 avant 2024.0.2
Des correctifs pour 2023.0.11, 2023.1.6 et 2024.0.2 sont disponibles ici, iciet ici, respectivement. Les utilisateurs de MOVEit peuvent vérifier la version qu'ils utilisent ce lien.
Compte tenu des dégâts résultant de l'exploitation massive de la vulnérabilité MOVEit de l'année dernière, il est probable que cette dernière puisse suivre un chemin similaire. Les administrateurs concernés doivent prioriser la recherche s'ils sont vulnérables dès que possible et réagir de manière appropriée. Une analyse et des conseils supplémentaires sont disponibles ici et ici.