MoveIt Transfer : une nouvelle vulnérabilité critique exploitée

Une autre vulnérabilité dans le produit MoveIt Transfer de Progress Software fait l’objet d’attaques dans le cadre d’une fuite apparente de faille.

Dans des alertes de sécurité publiées mardi, Progress a détaillé deux vulnérabilités critiques d’authentification incorrecte, l’une suivie sous la référence CVE-2024-5806 affectant son produit MoveI Transfer et l’autre CVE-2024-5805 dans son produit MoveItGateway. Des rapports d’exploitation de la CVE-2024-5806 se multiplient et il est crucial d’appliquer les correctifs en se basant sur les attaques passées.

L’année dernière, le groupe de cybercriminels Cl0p a mené une campagne industrielle d’exploitation de la vulnérabilité CVE-2023-34262 de MoveIt Transfer, multipliant les victimes.

La Shadowserver Foundation, une organisation de cybersécurité à but non lucratif, a commencé à observer des tentatives d’exploitation de CVE-2024-5806 dès mardi. Elle souligne que l’exploitation a commencé rapidement après la divulgation publique, une tendance qui devient de plus en plus préoccupante.

« Très peu de temps après la publication des détails de la vulnérabilité, nous avons commencé à observer des tentatives d’exploitation de Progress MOVEit Transfer CVE-2024-5806 POST /guestaccess.aspx. Si vous utilisez MOVEit et que vous n’avez pas encore appliqué de correctif, veuillez le faire maintenant », a écrit la Shadowserver Foundation sur X, anciennement Twitter.

Progress a publié des correctifs pour les deux failles le 11 juin et a invité les utilisateurs à passer aux dernières versions de MoveIt. Toutefois, il existe une mise en garde qui pourrait dissuader les utilisateurs d’appliquer les correctifs en temps voulu : « la mise à jour vers une version corrigée, en utilisant le programme d’installation complet, est le seul moyen de remédier à ce problème. Il y aura une interruption du système pendant la mise à jour », a écrit Progress Software dans les deux alertes de sécurité.

En ce qui concerne la CVE-2024-5806, l’éditeur a également averti les utilisateurs qu’il existe une nouvelle vulnérabilité dans un composant tiers non désigné utilisé dans MoveIt Transfer qui « augmente les risques du problème original mentionné ci-dessus s’il n’est pas corrigé ». Progress Software a également indiqué que son correctif ne remédiait pas au risque lié au composant tiers.

Juste avant que Progress Software ne divulgue publiquement CVE-2024-5806 mardi, l’éditeur de solutions de cybersécurité WatchTowr Labs a révélé dans un billet de blog qu’une source anonyme, connue sous le nom de dav1d_b141ne, avait déjà publié des détails sur la vulnérabilité dans un chat sur Internet. Selon une transcription de chat envoyée à WatchTowr, dav1d_b141ne a déclaré que Progress Software contactait des clients au sujet d’une vulnérabilité de contournement d’authentification incorrecte dans son produit MoveIt Transfer. La source a souligné que les groupes de menaces avancées persistantes (APT) et les gangs de ransomwares pourraient déjà être au courant de cette faille critique.

La source a également souligné le fait que Progress a déclaré que la vulnérabilité peut conduire à un contournement de l’authentification uniquement dans des « scénarios limités ». Dav1d_b141ne a fourni à WatchTowr des instances corrigées et non corrigées de MoveIt Transfer.

En testant la vulnérabilité, les chercheurs de WatchTowr ont conclu qu’il s’agissait de deux vulnérabilités distinctes : l’une dans Progress MoveIt et l’autre dans une bibliothèque tierce pour le serveur SSH IPWorks. WatchTowr décrit IPWorks comme un « produit commercial modérément populaire, avec une moyenne de 33 téléchargements par jour ». La bibliothèque est utilisée dans le cadre du processus d’authentification de MoveIt. WatchTowr a souligné que la vulnérabilité résultait de l’interaction entre MoveIt et IPWorks SSH, en particulier d’un défaut de gestion d’une condition d’erreur.

Les chercheurs de WatchTowr ont souligné que ce type de vulnérabilité n’est pas facile à découvrir, et l’on ne sait toujours pas comment Progress Software et dav1d_b141ne l’ont découverte. WatchTowr a félicité Progress Software à condition qu’il ait découvert la vulnérabilité au cours d’un examen de routine du code et qu’il ait analysé la cause première : « si c’est effectivement le cas, nous tirons notre chapeau à Progress pour avoir pris le problème aussi sérieusement qu’il le mérite, et pour ne pas avoir tenté de le balayer sous le tapis, comme nous avons vu d’autres fournisseurs le faire », a écrit WatchTowr dans son blog. Toutefois, les chercheurs se disent « quelque peu troublés (vous pouvez le deviner) par l’utilisation du terme “scénarios limités” dans l’avis, car nous ne pouvons pas encore déterminer les scénarios qui pourraient empêcher une exploitation triviale ».

Progress Software a depuis supprimé la mention « scénarios limités » de l’avis.

WatchTowr a également salué le processus de divulgation privé de Progress Software avec ses clients, qui a pu se dérouler pendant des semaines ou des mois : « nous ne pensons pas que quiconque soit encore vulnérable en raison de l’embargo et des efforts déployés de manière proactive par Progress pour s’assurer que les clients ont déployé les correctifs ».