Progress Software, le fabricant de la plate-forme de partage de fichiers MOVEit Transfer récemment exploitée dans le cadre d’attaques généralisées de vol de données, a averti ses clients de corriger une vulnérabilité de gravité maximale dans son logiciel serveur WS_FTP.

L’entreprise dit des milliers d’équipes informatiques dans le monde utilisent son logiciel de transfert de fichiers sécurisé WS_FTP Server de niveau entreprise.

Dans un avis publié mercredi, Progress a révélé plusieurs vulnérabilités affectant l’interface de gestion du logiciel et le module de transfert ad hoc.

Parmi toutes les failles de sécurité du serveur WS_FTP corrigées cette semaine, deux d’entre elles ont été jugées critiques, la dernière étant considérée comme CVE-2023-40044 recevoir un indice de gravité maximum de 10/10 et permettre à des attaquants non authentifiés d’exécuter des commandes à distance après l’exploitation réussie d’une vulnérabilité de désérialisation .NET dans le module Ad Hoc Transfer.

L’autre bug critique (CVE-2023-42657) est une vulnérabilité de traversée de répertoire qui permet aux attaquants d’effectuer des opérations sur les fichiers en dehors du chemin d’accès au dossier WS_FTP autorisé.

« Les attaquants pourraient également échapper au contexte de la structure de fichiers du serveur WS_FTP et effectuer le même niveau d’opérations (supprimer, renommer, rmdir, mkdir) sur les emplacements de fichiers et de dossiers du système d’exploitation sous-jacent », a déclaré Progress.

Selon la note CVSS:3.1 de la société pour les deux vulnérabilités, les attaquants peuvent les exploiter dans le cadre d’attaques de faible complexité qui ne nécessitent pas d’interaction de l’utilisateur.

« Nous avons corrigé les vulnérabilités ci-dessus et l’équipe Progress WS_FTP recommande fortement d’effectuer une mise à niveau. » Des progrès avertis.

« Nous recommandons la mise à niveau vers la version la plus élevée, à savoir la 8.8.2. La mise à niveau vers une version corrigée, à l’aide du programme d’installation complet, est le seul moyen de résoudre ce problème. Il y aura une panne du système pendant l’exécution de la mise à niveau. « 

La compagnie a également informations partagées sur la façon de supprimer ou de désactiver le module de transfert ad hoc du serveur WS_FTP vulnérable s’il n’est pas utilisé.

2 100 attaques réussies de vol de données MOVEit et ce n’est pas fini

Progress est toujours aux prises avec les conséquences d’une vaste série d’attaques de vol de données suite à l’exploitation d’un jour zéro dans la plateforme de transfert de fichiers sécurisé MOVEit Transfer par le gang de ransomwares Clop à partir du 27 mai.

Selon les estimations partagé par la société de sécurité Emsisoft Lundi, les conséquences de ces attaques ont touché plus de 2 100 organisations et plus de 62 millions de personnes.

Malgré l’ampleur et le grand nombre de victimes, les estimations de Coveware suggèrent que seul un nombre limité de personnes sont susceptibles de succomber aux demandes de rançon de Clop. Néanmoins, le groupe cybercriminel devrait percevoir entre 75 et 100 millions de dollars de paiements en raison de ses demandes de rançon élevées.

En outre, des rapports ont également fait surface indiquant que plusieurs agences fédérales américaines et deux entités relevant du Département américain de l’énergie (DOE) ont été victimes des attaques de vol de données de Clop.

Clop a été associé à plusieurs campagnes de vol et d’extorsion de données à fort impact ciblant d’autres plates-formes de transfert de fichiers gérés, notamment les serveurs Accellion FTA en décembre 2020, les attaques de transfert de fichiers gérés SolarWinds Serv-U de 2021 et l’exploitation massive d’un GoAnywhere MFT zéro- jour en janvier 2023.

Mardi, Progress Software a annoncé une augmentation de 16 % de ses revenus d’une année sur l’autre pour son troisième trimestre fiscal qui s’est terminé le 31 août 2023. Forme 8-K déposé auprès de la Securities and Exchange Commission des États-Unis.

Progress a exclu « certaines dépenses résultant de la vulnérabilité MOVEit zero-day » du rapport car il a l’intention de « fournir des détails supplémentaires concernant la vulnérabilité MOVEit dans notre formulaire 10-Q pour le trimestre terminé le 31 août 2023 ».