Microsoft a officiellement lié l’exploitation active en cours d’une faille critique dans l’application Progress Software MOVEit Transfer à un acteur menaçant qu’il suit comme Tempête de dentelle.
« L’exploitation est souvent suivie du déploiement d’un shell Web avec des capacités d’exfiltration de données », l’équipe Microsoft Threat Intelligence a dit dans une série de tweets aujourd’hui. « CVE-2023-34362 permet aux attaquants de s’authentifier comme n’importe quel utilisateur. »
Lace Tempest, également appelé Storm-0950, est une filiale de ransomware qui chevauche d’autres groupes tels que FIN11, TA505 et Evil Corp. Il est également connu pour exploiter le site d’extorsion Cl0p.
L’acteur de la menace a également fait ses preuves dans l’exploitation de différentes failles zero-day pour siphonner les données et extorquer les victimes, le groupe ayant récemment observé la militarisation d’un bogue grave dans les serveurs PaperCut.
CVE-2023-34362 concerne une vulnérabilité d’injection SQL dans MOVEit Transfer qui permet à des attaquants distants non authentifiés d’accéder à la base de données de l’application et d’exécuter du code arbitraire.
Selon les données de la société de gestion de surface d’attaque Censys, il y aurait au moins plus de 3 000 hôtes exposés utilisant le service MOVEit Transfer.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Mandiant, propriété de Google, qui suit l’activité sous le nom UNC4857 et a étiqueté le shell Web LEMURLOOT, a déclaré avoir identifié de larges connexions tactiques avec FIN11.
La semaine dernière, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté la faille à son catalogue de vulnérabilités exploitées connues (KEV), recommandant aux agences fédérales d’appliquer les correctifs fournis par les fournisseurs d’ici le 23 juin 2023.
Le développement fait suite à l’exploitation de masse similaire au jour zéro des serveurs Accellion FTA en décembre 2020 et de GoAnywhere MFT en janvier 2023, ce qui rend impératif que les utilisateurs appliquent les correctifs dès que possible pour se protéger contre les risques potentiels.
