MOVEit : deux failles SQLi avec Azure en bout de chaîne

Plusieurs vulnérabilités SQLi ont été détectées dans MOOVit Transfer, un logiciel de transfert sécurisé de fichiers.

Quel niveau de criticité pour les failles CVE-2023-34362 et CVE-2023-35036, découvertes à quelques jours d’intervalle dans MOVEit Transfer ? On ne leur a pas encore attribué de score CVSS.

L’une et l’autre ouvrent la voie à des injections SQL au niveau du front-end web de ce logiciel de transfert sécurisé de fichiers. Avec, entre autres conséquences potentielles, l’exfiltration de données.

Il existe des preuves d’exploitation* de la première de ces vulnérabilités. La démarche a impliqué le déploiement d’un webshell. Et – pas immédiatement – une menace de publication des informations récupérées.

Le shell, écrit en C#, est « déguisé » en fichier légitime. Il ne répond que si les requêtes qu’on lui fait contiennent, dans un en-tête, un mot de passe donné (codé « en dur » ; variable selon les échantillons). En fonction des paramètres qu’on lui communique, il peut créer ou supprimer des utilisateurs de la base de données, recueillir des informations de configuration ou encore lister fichiers et dossiers… puis les télécharger. Tout en accédant, le cas échéant, aux authentifiants Azure Blob Storage depuis les paramètres de MOVEit.

Le mode opératoire, jusqu’au lieu choisi pour publier certaines menaces de divulgation (en l’occurrence, le « site vitrine » du ransomware cl0p), rappelle des attaques survenues entre 2020 et 2021. On les avait attribuées au collectif cybercriminel dit FIN11. Elles exploitaient des vulnérabilités dans Accelion File Transfer Appliance, là aussi pour installer un shell.

Pas de « grosse » référence client pour MOVEit

Le correctif pour la faille CVE-2023-34362 a pour principal effet de désactiver la fonction SetAllSessionVarsFromHeaders() permettant de définir des variables d’environnement par le biais des en-têtes. La CVE-2023-35036 a son propre patch, à déployer indépendamment si on a déjà installé le premier.

Avant d’appliquer les correctifs, on s’assurera d’avoir installé une version encore supportée de MOVEit Transfer. Et d’avoir désactivé le trafic HTTP(S) entrant, puis supprimé les fichiers et les comptes non autorisés. C’est l’occasion, rappelle Progress, de blinder le pare-feu réseau, les règles d’accès distant… et l’authentification, en enclenchant le MFA. Les utilisateurs d’Azure Blob Storage feront par ailleurs tourner leurs clés.

Ces conseils concernent la version on-prem de MOVEit Transfer. Progress a corrigé la version Cloud. Il affirme avoir identifié l’exploit sur trois clusters, mais ne pas avoir de preuve de son utilisation.

L’éditeur américain n’affiche pas de « grosse » référence client pour ce logiciel. Au dernier pointage, autour de 2500 serveurs seraient exposés au réseau Internet.

* Et divers PoC qui n’impliquent pas tous un webshell. L’un d’entre eux joue en partie sur les différences de prises en compte de la casse entre composants logiciels, ainsi que sur un mauvais matching de code.

Lire aussi : Majorel, Cl0p, MOVEit… Le scénario probable de la fuite de données Pôle emploi