Blog > Blogue

15 juin 2023 - Vulnérabilité de sécurité critique de MOVEit Transfer - CVE-2023-35708

Une vulnérabilité de sécurité critique a été découverte dans la solution de transfert de fichiers MOVEit Transfer de Progress Software. Cette vulnérabilité de type injection SQL concerne l'application web de MOVEit Transfer.

Son exploitation pourrait permettre à un attaquant non authentifié d'obtenir un accès non autorisé à la base de données de MOVEit Transfer. Les conséquences sont:

  • Accès non autorisé à des informations sensibles.
  • Altération ou modification de l’intégrité des données, à des fins malveillants

Versions MOVEit impactées

Les versions MOVEit suivantes sont vulnérables:

  • Les versions MOVEit Transfer antérieures à 2021.0.8 (13.0.8), 2021.1.6 (13.1.6).
  • Les version 2022.0.6 (14.0.6), 2022.1.7 (14.1.7).
  • La version 2023.0.3 (15.0.3).


Indicateurs de compromission (IOC)

Les IOC sont des signes observables qui indiquent qu'une attaque a eu lieu. Pour cette vulnérabilité MOVEit, pour l'instant les IOC identifiées sont les suivantes:

  • Présence d’un fichier d’attaque malicieux (de type webshell) nommé human2.aspx dans le répertoire C:\MOVEitTransfer\wwwroot
  • Communications avec les adresses IP suivantes: 89.39.105[.]108, 5.252.190[.]0/24, 5.252.189-195[.]x, 148.113.152[.]144, 138.197.152[.]201, 209.97.137[.]33.

Vérifications à faire

  • Si vous utilisez MOVEit, vérifier si votre version est vulnérable.
  • Si votre version est vulnérable, verifier la presence du webshell human2.aspx dans le repertoire C:\MOVEitTransfer\wwwroot.
  • Vérifiez dans votre coupe-feu s’il y’a des communications avec les IOC de IP cités ci-dessus
  • Aucune action à prendre si vous n’utilisez pas MOVEit

Appliquer les correctifs en urgence

  • Les correctifs de cette vulnérabilité peuvent être téléchargés via ce lien.

Mesures temporaires à prendre

Si pour diverses raisons vous ne pouvez pas appliquer immédiatement les correctifs, voici les mesures temporaire à prendre:

  • Bloquer dans votre coupe-feu tout trafic HTTP/80 et HTTPS/443 externe vers votre environnement MOVEit Transfer.
  • Accès à l'application temporairement via les protocoles SFTP/ FTPS
  • Il est conseillé aux administrateurs de MOVEit d’y accéder temporairement via une connexion RDP au serveur. Ne pas accéder en HTTP/HTTPS.


Mesures à prendre si vous trouvez le fichier human2.aspx sur votre serveur MOVEit

Considérez que vous avez été piraté. Prenez les mesures suivantes:

  • Déclarer un incident de sécurité , isoler le serveur MOVEIT et activer votre plan de réponse aux incident.
  • Suivre les recommandations suivantes (voir section 2. Review, Delete and Reset)

Exploitation active de la vulnérabilité

Plusieurs cas d'exploitation de la vulnérabilité ont été signalés. De plus, le niveau de sévérité critique de la vulnérabilité indique que l'attaque est facile à exécuter. Il faut donc agir rapidement si vous êtes vulnérables.

Qu'est ce qu'un Webshell

Un webshell est un programme informatique malicieux de la famille des shellcodes. Il se lance à distance contre une cible qui a une vulnérabilité web/HTTP/HTTPS uniquement. L'exploitation de la vulnérabilité peut permettre de prendre le contrôle de la cible, executer un outil malicieux à distance (cheval de Troie, ransomware, reverse-shell, etc.), arrêter l'antivirus ou le EDR, etc.

Vous l'aurez compris , l'antivirus et le EDR ne vous protègent pas contre les webshells et shellcodes. Les SIEM et outils de gestion de logs n'ont pas non plus pour vocation de detecter ce type d'attaques.

Les seuls outils dediés à la detection de telles attaques sont les systèmes de detection/prevention d'intrusions (IDS/IPS) et les WAF (Web Application Firewall).

Mesures de réponse prises par Streamscan

  • Notre équipe de surveillance de la sécurité MDR maintient 24/7 son niveau de vigilance dans la surveillance de la sécurité de votre réseau (si vous utilisez ce service).

Comment Streamscan peut vous aider?

Les cyberattaques explosent sans cesse. Sans surveillance de sécurité en continu, vous êtes complètement aveugle sur les attaques qui vous ciblent. Or vous ne pouvez pas vous défendre contre ce que vous ne voyez pas.

Laissez-nous mettre nos yeux sur votre réseau. Adhérez à notre plateforme de surveillance gérée MDR propulsée par notre technologie de détection de cybermenaces CDS et mettez vous à l'abri des cyberattaques.