Détection CVE-2024-5806 : Une Nouvelle Vulnérabilité de Contournement de l’Authentification dans Progress MOVEit Transfer en Exploitation Active

Le paysage des menaces cyber en juin s’intensifie, principalement en raison de la divulgation de nouvelles vulnérabilités, telles que CVE-2024-4577 et CVE-2024-29849. Les chercheurs ont identifié une nouvelle vulnérabilité critique d’authentification incorrecte dans Progress MOVEit Transfer suivie sous le nom CVE-2024-5806, qui a déjà été activement exploitée dans la nature quelques heures après sa découverte.

Détecter les tentatives d’exploitation de CVE-2024-5806

Avec MOVEit restant une cible alléchante pour les cybercriminels suite aux incidents de l’année dernière, le potentiel d’accès aux fichiers internes des grandes entreprises est très attrayant pour les adversaires. La nouvelle vulnérabilité dans Progress MOVEit Transfer suivie sous le nom CVE-2024-5806 pourrait conduire à un contournement de l’authentification, ce qui pose un défi croissant pour les défenseurs en raison de son exploitation dans des attaques en direct peu de temps après l’annonce du défaut. Les adversaires pourraient tenter de militariser CVE-2024-5806 pour obtenir un accès initial. La plateforme SOC Prime pour la défense collective cyber a publié une nouvelle règle Sigma pour détecter les tentatives potentielles d’exploitation de CVE-2024-5806. Connectez-vous à SOC Prime Platform pour accéder instantanément à l’algorithme de détection dédié disponible via un lien ci-dessous :

Tentative d’exploitation possible de CVE-2024-5806 (contournement de l’authentification MOVEIt Transfer) (via serveur web)

Cette règle Sigma est alignée avec le cadre MITRE ATT&CK ®, abordant la tactique d’accès initial et la technique Exploiter une application exposée au public (T1190). Selon votre pile technologique, la détection est prête à être déployée sur des dizaines de technologies SIEM, EDR et Data Lake.

Pour rester au courant du paysage des menaces en constante évolution et identifier rapidement les intrusions exploitant des vulnérabilités critiques et des journées zéro, cliquez sur le Explorer les Détections bouton pour profiter de la collection complète de contenu SOC pertinent.

Explorer les Détections

Analyse de CVE-2024-5806

Le zéro-day stressant de l’année dernière CVE-2023-34362 dans Progress MOVEit Transfer a provoqué une agitation dans le domaine de la cybersécurité, posant des risques graves de fuite de données sensibles même pour les organisations de haut niveau.

L’équipe watchTowr a récemment découvert une nouvelle vulnérabilité, CVE-2024-5806, identifiée dans le logiciel Progress MOVEit Transfer. Le défaut, trouvé dans le module SFTP du produit, permet aux attaquants de contourner l’authentification et d’obtenir un accès non autorisé à des informations sensibles. La vulnérabilité affecte les instances de MOVEit Transfer de 2023.0.0 avant 2023.0.11, de 2023.1.0 avant 2023.1.6, et de 2024.0.0 avant 2024.0.2.

Le code d’exploitation CVE-2024-5806 a été publiquement publié quelques heures après que le fournisseur a émis un bulletin de sécurité reconnaissant le défaut, entraînant une augmentation des tentatives d’attaque sur les installations MOVEit vulnérables. Selon les statistiques de la Fondation Shadowserver, au moins 1 800 instances ont été observées comme étant exposées à la menace.

The Les chercheurs de watchTowr ont identifié deux scénarios d’attaque potentiels. Dans le premier, un attaquant pourrait exécuter une « authentification forcée » en utilisant un serveur SMB malveillant et un nom d’utilisateur valide, facilité par une méthode d’attaque par dictionnaire. L’autre révèle un flux d’attaque plus périlleux, permettant aux adversaires de se faire passer pour n’importe quel utilisateur du système.

Comme mesures de mitigation de CVE-2024-5806, le fournisseur recommande fortement que tous les clients de MOVEit Transfer utilisant les versions 2023.0, 2023.1, et 2024.0 passent rapidement à la dernière version corrigée.

Alors que la détection proactive de l’exploitation des vulnérabilités reste l’une des principales priorités de contenu pour les entreprises qui dépendent de solutions logicielles populaires, les défenseurs cherchent des moyens innovants pour améliorer la résilience cyber. La suite complète de produits SOC Prime basée sur l’intelligence des menaces mondiale, le crowdsourcing, la confiance zéro, et étendue par l’IA générative permet aux organisations de prévenir les attaques cyber émergentes et de renforcer les capacités de défense cyber à grande échelle.