Les temps sont durs pour Progress Software, éditeur de l’application de transfert de fichier MoveIT. Depuis le début du mois de juin, le fournisseur n’en finit plus de découvrir des vulnérabilités critique dans son outil. La première est particulièrement exploitée par le groupe de ransomware nommé Clop. Puis en début de semaine, une seconde faille a été découverte par la société Huntress sans preuve de son exploitation.

Jamais deux sans trois. Une autre brèche a été trouvée dans MoveIT Transfer, a indiqué Progress Software dans un bulletin. La faille, de type injection SQL, n’a pas encore reçu d’identifiant CVE et peut « entraîner une escalade des privilèges et un accès potentiel non autorisé à l’environnement ». Comme pour les précédents cas, la société demande instamment à ses clients de désactiver tout le trafic HTTP et HTTPs vers Moveit Transfer sur les ports 80 et 443 afin de protéger leurs systèmes.

Clop liste ses premières victimes, la CISA temporise

En parallèle de ces différentes découvertes, le gang de ransomware Clop est passé à la vitesse supérieure en publiant sur son site une liste de 27 entreprises et administrations piratées via la faille initiale dans MoveIT Transfer. Les victimes sont invitées à négocier une rançon, sinon le 21 juin prochain, le groupe menace de publier des données dérobées. Parmi les cibles, il y a Shell - la compagnie pétrolière a confirmé l’information à The Record - l’University System of Georgia et la John Hoppkins University, plusieurs agences fédérales US sont également référencées comme le département de l’Energie américain.

L’affaire est jugée suffisamment importante pour la CISA s’exprime dans les médias. « Nous travaillons en étroite collaboration avec Progress Software, le FBI et nos partenaires fédéraux pour comprendre la prévalence au sein des agences fédérales », a déclaré la directrice Jen Easterly à The Register. Pour l’instant, elle observe qu’il n’y a pas de menaces d’extorsion ou de publication des données gouvernementales ». La dirigeante souligne qu’« il ne s'agit pas d'une campagne comme SolarWinds qui présente un risque systémique pour notre sécurité nationale ou le réseau de notre pays ». Pour elle, les attaques sont plutôt jugées « opportunistes » et non ciblées ou préparées. Un éditeur de sécurité, Kroll, a pu déterminer que le gang Clop connu sous le nom TA505 expérimentait l’exploitation de cette faille dès juillet 2021.