Une faille critique dans l’application de transfert de fichiers gérée par Progress Software dans MOVEit Transfer a été largement exploitée dans la nature pour prendre le contrôle de systèmes vulnérables.
«Une vulnérabilité par injection SQL a été découverte dans l’application web MOVEit Transfer qui pourrait permettre à un attaquant non authentifié d’obtenir un accès non autorisé à la base de données de MOVEit Transfer», a déclaré la société.
«Selon le moteur de base de données utilisé, un attaquant peut être en mesure de déduire des informations sur la structure et le contenu de la base de données, en plus d’exécuter des instructions SQL qui modifient ou suppriment des éléments de la base de données.»
Selon Huntress et Rapid7, environ 2 500 instances de MOVEit Transfer étaient exposées à l’internet public au 31 mai 2023, la majorité d’entre elles étant situées aux États-Unis. Les tentatives d’exploitation réussies aboutissent au déploiement d’un shell web, un fichier nommé «Human2.aspx» dans le répertoire «Wwwroot» qui est créé via un script avec un nom de fichier aléatoire, pour «Exfiltrer diverses données stockées par le service MOVEit local».
La société de renseignement sur les menaces GreyNoise a déclaré avoir «observé une activité de balayage de la page de connexion de MOVEit Transfer située à l’adresse /human.aspx dès le 3 mars 2023», ajoutant que cinq adresses IP différentes ont été détectées «tentant de découvrir l’emplacement des installations de MOVEit».
» Bien que nous ne connaissions pas les spécificités autour du groupe derrière les attaques Zero Day impliquant MOVEit, cela souligne une tendance inquiétante des attaquants modernes ciblant les solutions de transfert de fichiers «, a déclaré Satnam Narang, ingénieur de recherche senior chez Tenable.
