Picus Security analyse l'exploitation par CL0P ransomware de la vulnérabilité MOVEit

La société de cybersécurité Picus Security a publié une analyse de la vulnérabilité CVE-2023-34362, une faille critique d'injection SQL affectant l'application MOVEit Transfer de Progress Software, qui est activement exploitée par le groupe de ransomware CL0P. Cette vulnérabilité permet aux attaquants de voler des données sensibles et d'exécuter du code arbitraire sur les systèmes compromis.

L'application MOVEit Transfer est largement utilisée par les organisations du monde entier pour des transferts de fichiers sécurisés gérés, y compris par les institutions gouvernementales et financières. La vulnérabilité, détaillée publiquement pour la première fois par la CISA en juin 2023, a été exploitée dès le 27 mai 2023. Les premières analyses ont indiqué que plus de 2 500 serveurs MOVEit étaient exposés en ligne, avec une part significative aux États-Unis. Des organisations notables, dont la BBC et British Airways, ont été touchées.

Les recherches de Picus Security détaillent comment les acteurs de CL0P exploitent la vulnérabilité pour déployer un web shell nommé LEMURLOOT. Cela leur permet d'établir une persistance et de télécharger des fichiers sensibles depuis les environnements des victimes. Le web shell LEMURLOOT nécessite des en-têtes d'authentification spécifiques pour exécuter des commandes.

Le ransomware CL0P est connu pour sa stratégie de double extorsion, consistant à exfiltrer les données avant de les chiffrer. Le groupe a précédemment été associé à des campagnes de phishing à grande échelle. L'exploitation continue souligne la nécessité de mesures de sécurité robustes et d'une surveillance continue.

Picus Security propose des plateformes de validation de sécurité qui permettent aux organisations de simuler des attaques telles que celles perpétrées par le ransomware CL0P, leur permettant de tester et d'améliorer leurs défenses contre les menaces réelles.