Transfert de MOVEit : Contournement de l'authentification et examen de l'exposition

Mise à jour, 26 juin 2024

Depuis le 25 juin à 19:15 PM ET, Progress a mis à jour le score CVSS pour CVE-2024-5806 dans MOVEit Transfer de 7.4 à 9.1, changeant la sévérité d'Élevée à Critique.

Leur avis comprend maintenant un rapport sur des vulnérabilités supplémentaires "nouvellement identifiées" dans un composant tiers utilisé par MOVEit Transfer. Le correctif original pour CVE-2024-5806 n'atténue pas ces problèmes, et Progress demande instamment à ses clients de.. :

• Bloquer l'accès RDP entrant à MOVEit Transfer
• Limiter l'accès sortant aux seuls serveurs de confiance

Résumé

• Le 25 juin 2024, Progress Software a annoncé deux CVE de contournement d'authentification affectant le module SFTP de ses produits MOVEit Transfer et Gateway.
• Au moment de la publication, Censys a observé 2 700 cas de transfert MOVEit en ligne, principalement aux États-Unis.
• Si l'on compare les chiffres de l'exposition à MOVEit Transfer en 2023, on constate qu'ils sont remarquablement similaires, tout comme les zones géographiques et les réseaux dans lesquels MOVEit Transfer est observé.
• Censys a publié un tableau de bord pour aider à suivre les expositions au transfert MOVEit au fil du temps
  • Censys Recherche d'instances exposées

Introduction

Le 25 juin 2024, Progress Software a annoncé deux CVE affectant le module SFTP de ses produits MOVEit Transfer et Gateway :

• CVE-2024-5806CVSS 7.4 (élevé), contournement de l'authentification dans MOVEit Transfer
  • Affecte les versions de MOVEit Transfer comprises entre 2023.0.0 et 2023.0.11, entre 2023.1.0 et 2023.1.6, entre 2024.0.0 et 2024.0.2.
• CVE-2024-5805CVSS 9.1 (Critique), contournement de l'authentification dans la passerelle MOVEit
  • Affecte la version 2024.0.0 de MOVEit Gateway.

MOVEit Transfer est une solution populaire de transfert de fichiers géré (MFT), conçue pour faciliter le transfert de fichiers entre et au sein des organisations. En mai et juin 2023, MOVEit Transfer a été confronté à de multiples vulnérabilités critiques qui ont été exploitées en masse par le ransomware Clop et le gang d'extorsion pour voler les données de centaines d'organisations. Les divulgations des organisations affectées - à la fois des utilisateurs de MOVEit et des tiers - se sont poursuivies pendant une grande partie de l'année 2023.

MOVEit Gateway est un service proxy conçu pour faciliter les déploiements plus sûrs de MOVEit Transfer. MOVEit Gateway peut être déployé dans la DMZ (zone démilitarisée) d'un réseau pour permettre à MOVEit Transfer de résider dans le réseau local, plutôt que d'être exposé sur l'Internet public.

Les chercheurs de watchTowr Labs ont publié une analyse détaillée de la vulnérabilité de contournement d'authentification dans MOVEit Transfer. Ils expliquent que cette vulnérabilité particulière ne provient pas d'une simple injection SQL (comme nous l'avons vu l'année dernière avec CVE-2023-34362 dans MOVEit Transfer), mais plutôt de l'interaction entre MOVEit, la bibliothèque SSH IPWorks utilisée par MOVEit, et des problèmes de gestion des erreurs.

Ci-dessous, nous nous concentrons spécifiquement sur l'étendue de l'exposition de MOVEit Transfer.

Le point de vue de Censys

Nous avons examiné l'exposition de MOVEit Transfer à la même époque l'année dernière, et peu de choses ont changé. Au 25 juin 2024, Censys a observé 2 700 cas de MOVEit Transfer en ligne. Ce chiffre est relativement proche des 2 600 cas observés au début du mois de juin 2023.

La majorité des instances MOVEit exposées que nous avons observées se trouvent aux États-Unis, mais d'autres expositions ont été observées au Royaume-Uni, en Allemagne, aux Pays-Bas et au Canada, entre autres pays.

Carte mondiale des expositions au transfert MOVEit visibles sur Censys au 25 juin 2024

Cette situation n'est pas surprenante, car elle reflète étroitement la répartition géographique des hôtes que nous avons observée lors de l'examen des expositions au transfert MOVEit en 2023.

Nous observons également des similitudes d'exposition entre les systèmes autonomes par rapport à l'empreinte d'exposition de 2023. La plupart des cas sont observés dans les AS de Microsoft ou d'Amazon.

Comme le montrent les données ci-dessus, le niveau d'exposition est resté relativement constant depuis le 28 mai 2024.

Nous avons créé un tableau de bord pour suivre l'exposition au transfert MOVEit dans le temps, la géographie et les réseaux.

Conclusion

Les similitudes entre l'exposition au transfert de MOVEit observée sur Censys en 2023 et en 2024 peuvent indiquer à quel point MOVEit est vital pour les organisations qui l'utilisent. Bien que nous ne nous attendions pas nécessairement à une baisse drastique de l'exposition à MOVEit Transfer suite à la campagne de 2023 de Clop, la similitude des chiffres d'exposition nous rappelle qu'une fois qu'un logiciel d'entreprise est en place, il reste souvent en place, même face à une exploitation massive.

Références

• https://community.progress.com/s/article/MOVEit-Transfer-Product-Security-Alert-Bulletin-June-2024-CVE-2024-5806
• https://community.progress.com/s/article/MOVEit-Gateway-Critical-Security-Alert-Bulletin-June-2024-CVE-2024-5805
• https://labs.watchtowr.com/auth-bypass-in-un-limited-scenarios-progress-moveit-transfer-cve-2024-5806/
• https://censys.com/moveit-transfer/
• https://censys.com/moveit-an-industry-analysis/
• https://www.wired.com/story/moveit-breach-victims/ 
• https://nvd.nist.gov/vuln/detail/CVE-2023-34362