Des cybercriminels exploitent une faille zero-day de MOVEit

L’éditeur américain Progress Software a déclaré, le 31 mai 2023, avoir identifié une « vulnérabilité » dans son logiciel de transfert de fichiers sécurisé MOVEit. Selon plusieurs chercheurs en cybersécurité, cette faille zero-day aurait été largement exploitée durant le week-end du 28 mai 2023, notamment aux États-Unis.

« L’acteur de la menace n’est pas encore connu à 100 %, mais il pourrait s’agir d’un groupe de ransomware/extorsion. C’est très grave, les organisations touchées devraient fermer leur serveur », a pointé l’expert cyber Kevin Beaumont, le 2 juin 2023.

MOVEit permet à des organisations traitant des données sensibles de les transférer à leurs clients, partenaires ou utilisateurs, en toute sécurité. Le logiciel est surtout populaire aux États-Unis et au Royaume-Uni. Selon Kevin Beaumont, MOVEit compte parmi ses clients des banques et des administrations américaines, dont le Département de la sécurité intérieure (DHS).

Progress Software a reconnu la criticité de la faille. Elle « pourrait permettre à un attaquant non authentifié d’obtenir un accès non autorisé aux bases de données ». Selon Kevin Beaumont, la faille affecte les versions sur site comme les versions cloud de MOVEit. Aucun correctif n’est encore disponible, mais Progress Software a proposé un protocole pour empêcher les cybercriminels d’exploiter la vulnérabilité.

La société de cybersécurité Rapid7 aurait identifié 2 500 serveurs MOVEit Transfer exposés, la majorité aux États-Unis. le site d’informations Bleeping Computer note que, malgré plusieurs intrusions constatées, aucune organisation n’aurait encore reçu de demande de rançon. Le mode opératoire rappelle par ailleurs celui de deux attaques similaires, menées en janvier 2023 par le gang de rançongiciel Clop.