.png)
Plusieurs agences du gouvernement fédéral américain ont été touchées par des une cyberattaque mondiale par un gang de cybercriminels russes, appelé CLOP, qui exploite une vulnérabilité dans un produit logiciel Progress largement utilisé, selon une agence de cybersécurité américaine de premier plan. Progress a confirmé cette vulnérabilité dans MOVEit Transfer, qui facilite très probablement l'accès à l'environnement criminel.
Le 15 juin, l'agence américaine (CISA) a déclaré qu'un autre logiciel de Progress avait été exploité pour ouvrir une brèche dans plusieurs agences fédérales américaines par des “acteurs APT non attribués”, ces produits proviennent d'une filiale de Progress, Telerik, qui était une société acquise en 2014.
La publication de l'avis détaillant la dernière vulnérabilité intervient après que la CISA a déclaré que des agences fédérales ont récemment été piratées par l'outil de transfert aux mains du gang du ransomware CLOP, qui fait partie de nombreuses attaques utilisant un certain nombre de vulnérabilités de la plateforme.
Le groupe de ransomware CLOP fait partie des nombreux gangs d'Europe de l'Est et de Russie qui se concentrent presque exclusivement sur l'extorsion de leurs victimes pour leur soutirer le plus d'argent possible. “Les analystes ont déterminé que de multiples acteurs de cybermenaces, y compris un acteur de menace persistante avancée (APT), ont pu exploiter une vulnérabilité de désérialisation .NET dans l'interface utilisateur Progress Telerik (UI) pour ASP.NET AJAX, située dans le serveur web Microsoft Internet Information Services (IIS) de l'agence…. L'exploitation réussie de cette vulnérabilité permet l'exécution de code à distance. Selon Progress Software, les versions de Telerik UI for ASP.NET AJAX antérieures à la version R1 2020 (2020.1.114) sont vulnérables à cet exploit”, indique le communiqué de la CISA.
MOVEit piraté
Le même jour, Progress a confirmé que son logiciel MOVEit, largement utilisé, avait été piraté. “Progress a découvert une vulnérabilité dans MOVEit Transfer qui pourrait conduire à une escalade des privilèges et à un accès potentiel non autorisé à l'environnement. Si tu es un client de MOVEit Transfer, il est extrêmement important que tu prennes immédiatement les mesures indiquées ci-dessous afin d'aider à protéger ton environnement MOVEit Transfer”, a déclaré Progress dans un communiqué.
Si tu es un client de MOVEit Transfer, il est extrêmement important que tu prennes des mesures immédiates afin de protéger ton environnement MOVEit Transfer.
Le meilleur conseil fourni par Progress est probablement de désactiver tout le trafic HTTP et HTTPs vers MOVEit Transfer sur les ports 80 et 443 afin de protéger les environnements. Cela devrait être fait pendant qu'un correctif est en cours de préparation pour remédier aux vulnérabilités et au cas où encore plus d'entre elles remonteraient à la surface.Le problème a été publié par Progress, et il s'agit d'une autre vulnérabilité d'injection SQL qui pourrait potentiellement permettre à des attaquants non authentifiés d'avoir accès à la base de données de MOVEit.
Si les attaquants présentent une charge utile dans le point de terminaison de l'application MOVEit Transfer, ils peuvent finalement modifier le contenu de la base de données.
Progress Software encourage les clients de MOVEit Transfer à prendre des mesures immédiates pour aider à durcir leurs environnements MOVEit Transfer, notant qu'il est “extrêmement important” que les utilisateurs agissent le plus rapidement possible. “Alors que nous continuons à enquêter sur le problème lié à MOVEit Cloud et MOVEit Transfer que nous avons précédemment signalé, une source indépendante a révélé une nouvelle vulnérabilité qui pourrait être exploitée par un mauvais acteur”, selon un communiqué de presse.
Les entreprises du secteur de l'énergie et les universités ciblées
Des cyberattaques utilisant le programme MOVEit Transfer ont actuellement affecté un certain nombre d'agences gouvernementales américaines, ainsi que de nombreuses autres entreprises et organisations. Il s'agit notamment de Oak Ridge Associated Universities, un centre de recherche à but non lucratif, et de Waste Isolation Pilot Plant, un entrepreneur qui élimine les déchets de l'énergie atomique, qui doivent maintenant faire face à la perte d'informations volées, à des systèmes perturbés, et parfois même à des demandes de paiement de rançons.
On s'attend à ce que le nombre d'entreprises victimes exposées à ces vulnérabilités logicielles de Progress se compte par centaines et, bien qu'il n'y ait eu aucune indication que des acteurs menaçants aient encore exploité la nouvelle vulnérabilité, Progress affirme qu'il communique avec ses clients pour leur fournir des informations et des conseils afin de les aider à se protéger et à protéger leurs clients.
Progress : CISA : Dark Reading : CNN : Malwarebytes : The Stack : NCSC :
Tu pourrais aussi lire :
:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuel £5 par mois ou £50 par an. S'inscrire
- Multi-utilisateurs, entreprises & ; comptes de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible
