Comme dit souvent le grand philosophe de notre époque, Maître Gims: « ça fait mal de se faire hacker par des vulnérabilités inconnues ». Progress Software, le cerveau derrière le logiciel de transfert de fichiers MOVEit, récemment piraté, a publié des correctifs pour deux autres vulnérabilités critiques. Vous l’avez deviné, ces coquines sont déjà exploitées par des attaquants.
Dans un avertissement publié la semaine dernière, Progress a tiré la sonnette d’alarme sur de multiples vulnérabilités affectant son logiciel de transfert de fichiers orienté entreprise: WS_FTP. Ce dernier est utilisé par des milliers d’équipes informatiques à travers le monde pour le « transfert sécurisé et fiable de données critiques. Et bien, on peut dire que le mot « sécurisé » a pris un coup dans l’aile!
Ces vulnérabilités de WS_FTP sont surveillées comme du lait sur le feu. La première, dotée du terrible nom de code CVE-2023-40044, est décrite comme un bug de désérialisation .NET qui pourrait permettre à un attaquant d’exécuter des commandes à distance sur le système d’exploitation sous-jacent. La deuxième, connue sous le doux nom de CVE-2023-42657, est une vulnérabilité de parcours de répertoire qui pourrait permettre à un attaquant d’effectuer des opérations de fichiers en dehors du chemin de dossier autorisé de WS_FTP.
Peut-on appeler ça une faille de sécurité, ou plutôt des portes ouvertes aux attaquants?
Devinez quoi ? Ces vulnérabilités sont déjà en train d’être exploitées par des hackers, d’après la société de cybersécurité Rapid7. Les attaques semblent provenir d’un seul et même adversaire, selon les rumeurs. Néammoins, ne baissez pas la garde, nous avons vu un seul acteur de menace causer des dégâts disproportionnés lorsqu’il cible des solutions de transfert de fichiers cette année.
Qui est à l’origine de ces attaques ? Combien de clients WS_FTP ont été impactés par cette exploitation ? Autant de questions qui restent pour l’instant sans réponse. Un porte-parole de Progress a critiqué les chercheurs en sécurité pour avoir publié un code d’exploit preuve-de-concept pour la vulnérabilité, mais il s’est abstenu de nommer les chercheurs. Il semble qu’aucune preuve n’indique que ces vulnérabilités étaient exploitées avant cette publication.
La société de sécurité Assetnote, qui a découvert ces vulnérabilités de WS_FTP, estime qu’il y a 2 900 hôtes sur l’internet qui utilisent WS_FTP et dont le serveur web est exposé. La grande majorité de ces actifs en ligne appartiennent à de grandes entreprises, à des gouvernements et à des institutions éducatives.
La nouvelle de l’exploitation de ces vulnérabilités dans le logiciel WS_FTP de Progress Software tombe alors que cette dernière est toujours aux prises avec les suites des attaques massives exploitant une faille de sécurité du jour zéro dans sa plateforme MOVEit Transfer. Oups, encore une faille ! Bien qu’elle ait été revendiquée par le groupe de rançongiciels Clop, le véritable nombre d’organisations touchées dépasse de loin les 2 100.
En conclusion, la boite de Pandore est ouverte et les vulnérabilités coulent à flots. Progress Software a publié un patch pour les vulnérabilités et exhorte les clients à appliquer les correctifs de toute urgence. Après tout, mieux vaut prévenir que guérir, n’est-ce pas ? Disons que pour Progress Software, il ne s’agit pas seulement de faire un pas en avant, mais aussi d’éviter de faire deux pas en arrière. Coïncidence ? Je ne pense pas.
Source : Techcrunch