CVE-2023-34362 Détection : Vulnérabilité critique Zero-Day de MOVEit Transfer activement exploitée par des cybercriminels pour voler des données aux organisations

Juste après la faille de gravité maximale dans le logiciel GitLab connue sous le nom de CVE-2023-2825, une autre vulnérabilité critique fait son apparition, créant un buzz important dans le paysage des menaces cybernétiques. À la fin de juin 2023, Progress Software a découvert une vulnérabilité critique dans MOVEit Transfer qui peut entraîner une élévation de privilèges et a immédiatement publié un avis de sécurité couvrant les mesures d’atténuation et les activités de remédiation. En réponse aux risques accrus d’exploitation de la vulnérabilité, la CISA a récemment publié l’alerte correspondante incitant les organisations à se méfier de la menace et à optimiser leur posture de cybersécurité en fonction des risques.

Mise à jour : Depuis le 2 juin 2023, la faille MOVEit Transfer est suivie sous le nom de CVE-2023-34362 et a été ajoutée au Catalogue des vulnérabilités exploitées connues de la CISA avec le score CVSS non encore fourni.

Détection des Exploits pour un Zero-Day CVE-2023-34362 dans l’application MOVEit Transfer

Nouvelle semaine, nouvelle faille zero-day posant une menace significative aux défenseurs cybernétiques. Pour empêcher que les exploits zero-day de MOVEit Transfer ne causent des dommages significatifs à votre système, utilisez l’ensemble suivant de règles Sigma publiées par une équipe d’ingénieurs de la chasse aux menaces de SOC Prime :

Indicateur possible d’exploitation MOVEit Transfer [MOVEit Transfer 0Day] (via file_event)

Tentative d’exploitation possible de MOVEit Transfer [MOVEit Transfer 0Day] (via process_creation)

Tentative de création suspecte de bibliothèque dynamique App_Web [MOVEit Transfer 0Day] (via file_event)

Tentative d’exploitation possible de MOVEit Transfer [MOVEit Transfer 0Day] (via webserver)

De plus, pour simplifier la recherche de contenu, les professionnels de la cybersécurité peuvent appliquer un tag “MOVEit” et explorer toutes les détections pertinentes soit dans le Moteur de recherche de règles Sigma de SOC Prime soit à l’intérieur du Marché de détection de menaces lui-même.

Tous les algorithmes de détection pour CVE-2023-34362 sont compatibles avec plus de 25 formats SIEM, EDR, XDR et BDP et alignés avec le cadre MITRE ATT&CK v12, traitant des tactiques d’accès initial et d’évasion de la défense avec Exploitation d’application accessible publiquement (T1190) et Usurpation (T1036) comme techniques correspondantes.

En cliquant sur le bouton Explorer les détections , les organisations peuvent accéder instantanément à encore plus d’algorithmes de détection visant à aider à identifier le comportement malicieux lié à l’exploitation des vulnérabilités à la mode.

Explorer les détections

Analyse de la vulnérabilité critique de MOVEit Transfer

Le dernier jour de mai 2023, Progress Software a publié un avis de sécurité pour faire la lumière sur la vulnérabilité récemment révélée de MOVEit Transfer suivie sous le nom de CVE-2023-34362, qui permet aux adversaires d’accéder de manière non autorisée aux systèmes compromis et entraîne des attaques de vol de données.

Pour avertir instantanément les défenseurs cybernétiques des risques croissants liés aux tentatives d’exploitation de la vulnérabilité MOVEit Transfer, Progress Software a fourni les détails de cette injection SQL . Selon l’avis du vendeur, toutes les versions du logiciel pourraient être affectées par la vulnérabilité, nécessitant une réactivité immédiate des défenseurs cybernétiques.

Pour identifier en temps opportun l’infection dans l’environnement d’entreprise en cas d’exploitation réussie de la vulnérabilité, CISA incite les organisations à suivre les recommandations d’atténuation émises par Progress Software, qui impliquent de désactiver tout trafic HTTP/ HTTPs vers l’environnement potentiellement compromis, de supprimer les fichiers non autorisés et de réinitialiser les identifiants utilisateur, d’appliquer immédiatement les correctifs, de surveiller constamment l’infrastructure pour d’éventuelles menaces, et de suivre les meilleures pratiques de l’industrie pour renforcer l’hygiène cybernétique. HTTP/ HTTPs traffic to the potentially compromised environment, removing unauthorized files and resetting user credentials, instantly applying the patches, constantly monitoring the infrastructure for potential threats, and following the industry best practices to boost cyber hygiene.

GreyNoise a révélé l’activité de scanning pour la page de connexion de MOVEit Transfer, qui remonte au début de mars 2023. En analysant l’activité identifiée, les chercheurs en sécurité ont découvert que cinq IP pouvaient être marquées comme malveillantes, ce qui indique une activité d’adversaire antérieure potentiellement liée aux tentatives d’exploitation de la vulnérabilité.

Basé sur le fil de discussion Reddit focalisé sur l’exploit, les attaquants exploitent une porte dérobée appelée human2.aspx, qui leur permet d’obtenir la liste complète des dossiers, fichiers et utilisateurs au sein de l’environnement MOVEit affecté, de télécharger tout fichier du système ciblé, et d’effectuer des activités de contournement de mot de passe pour voler des données sensibles et propager l’infection plus largement.

Pour chasser instantanément les IOC pertinents, explorez Uncoder AI qui permet aux ingénieurs de sécurité de convertir automatiquement les indicateurs de compromission de fichier, de hôte ou de réseau en requêtes IOC personnalisées prêtes à exécuter dans l’environnement SIEM ou EDR sélectionné. Et ce n’est pas tout – l’outil agit comme une solution ultime pour tout ingénieur de détection et chasseur de menaces pour rationaliser les opérations quotidiennes ad hoc, telles que la recherche de menaces, le codage de règles soutenu par l’autocomplétion, la validation, la traduction de contenu et plus à partir d’un seul endroit.