MoveIT Transfer alerte encore sur une faille critique

0


Dans un message, Progress Software a de nouveau alert sur une autre vulnrabilit critique dans son logiciel MoveIT Transfer. Ce dernier est l’origine d’une vague de cyberattaques menes par le groupe de ransomware Clop.

En s’emparant d’IP Switch et son logiciel MoveIT Transfer en 2019, Progress Software Ă©tait loin de se douter de la faiblesse de sa sĂ©curitĂ©. AprĂšs la dĂ©couverte d’une faille zero day Ă  la fin du mois de mai dernier, l’éditeur en finit plus de dĂ©couvrir des vulnĂ©rabilitĂ©s dans le logiciel. Dernier en date, une autre brĂšche critique de type injection SQL a Ă©tĂ© dĂ©tectĂ©e et corrigĂ©e dans une mise Ă  jour publiĂ©e en fin de semaine derniĂšre.

La CVE-2023-36934 est particuliĂšrement dangereuse, car elle est exploitable sans authentification de l’utilisateur. Cela signifie que mĂȘme les attaquants ne disposant pas d’informations d’identification valides peuvent potentiellement exploiter la vulnĂ©rabilitĂ©. Cependant, jusqu’Ă  prĂ©sent, aucun rapport n’a fait Ă©tat d’une utilisation active de ce bug. Dans le pack de correctifs, Progress Software colmate deux autres failles : CVE-2023-36932 et CVE-2023-36933. La premiĂšre est une faille d’injection SQL qui peut ĂȘtre exploitĂ©e par des attaquants connectĂ©s pour obtenir un accĂšs non autorisĂ© Ă  la base de donnĂ©es MoveIT Transfer. La seconde entraĂźne l’arrĂȘt inopinĂ© du logiciel.

Les dĂ©fauts de sĂ©curitĂ© de MoveIT Transfer inquiĂštent les autoritĂ©s en charge de la cybersĂ©curitĂ© depuis que le groupe de ransomware Clop se sert de la premiĂšre faille (CVE-2023-34362). Et le moins que l’on puisse dire est que cette campagne est redoutable. PrĂšs de 200 entreprises auraient Ă©tĂ© victimes de ce gang et prĂšs de 17,5 millions de personnes ont vu leurs donnĂ©es personnelles compromises, selon Brett Callow, chercheur chez Emisoft. Et la liste ne cesse de s’allonger, la semaine derniĂšre le groupe pĂ©trolier Shell a confirmĂ© avoir Ă©tĂ© pris dans les nasses de Clop qui menace de publier des donnĂ©es sensibles du groupe.





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *