« MOVEit : deux failles SQLi avec Azure en bout de chaîne ». Ainsi avions-nous titré un article publié mi-juin.
Les failles en question avaient été découvertes à quelques jours d’intervalle, dans MOVEit Transfer, logiciel de transfert sécurisé de fichiers. L’une et l’autre ouvraient la voie à des injections SQL au niveau du front-end web. Avec, entre autres conséquences potentielles, l’exfiltration de données.
Il existait alors plusieurs preuves d’exploitation. L’une d’entre elles impliquait le déploiement d’un webshell pouvant accéder, entre autres, à des identifiants Azure Blob Storage depuis les paramètres de MOVEit. Un autre PoC jouait en partie sur les différences de prise en compte de la casse entre composants logiciels, ainsi que sur un mauvais matching de code.
Ces vulnérabilités – ainsi qu’une troisième, rendue publique au lendemain de la publication de notre article – ont été utilisées, notamment, pour diffuser le ransomware Cl0p.
Majorel et MOVEit : de premiers signes en Allemagne
La branche française du groupe britannique SYNLAB (services de diagnostics médicaux) fait partie des victimes affichées sur le site vitrine de Cl0p. Début juin, elle a reconnu avoir « stoppé un acte malveillant » dirigé contre MOVEit, utilisé pour échanger des données avec des établissements de soins partenaires. Sont plus précisément concernés quatre de ses laboratoires… dont des patients ont depuis lors reçu un e-mail frauduleux. Celui-ci les incite à communiquer les identifiants de leur compte personnel.