Retour au blog
MOVEitCVE-2023-34362injection SQLCl0pransomwaretransfert de fichiers

MOVEit CVE-2023-34362 : l'injection SQL qui a compromis des milliers d'entreprises

CVE-2023-34362 est une injection SQL critique dans MOVEit Transfer exploitée par le gang Cl0p. Analyse de l'attaque, des victimes et des mesures de sécurisation.

23 avril 20264 min de lecture

En mai-juin 2023, le gang de ransomware Cl0p lançait l'une des campagnes d'exploitation les plus massives de l'histoire récente. La cible : MOVEit Transfer, un logiciel de transfert de fichiers sécurisé utilisé par des milliers d'entreprises dans le monde. La faille : CVE-2023-34362, une injection SQL permettant l'exfiltration complète des données.

Qu'est-ce que MOVEit Transfer ?

MOVEit Transfer (éditeur : Progress Software) est une solution d'échange de fichiers sécurisée utilisée dans des secteurs critiques : santé, finance, gouvernement, industrie. Des millions de fichiers sensibles — données patients, informations financières, données personnelles — transitent quotidiennement par ces serveurs.

CVE-2023-34362 : l'injection SQL critique

Mécanisme

CVE-2023-34362 est une injection SQL dans l'interface web de MOVEit Transfer. Un attaquant non authentifié peut envoyer des requêtes HTTP spécialement forgées pour injecter des commandes SQL dans la base de données, ce qui lui permet de :

  1. Créer des comptes administrateurs fictifs
  2. Lister tous les fichiers stockés sur le serveur
  3. Télécharger l'intégralité des fichiers sans authentification
  4. Supprimer des données pour couvrir ses traces

Score CVSS : 9.8 (Critique)
Publié : 31 mai 2023 (exploitée en masse dès le 27 mai)
Versions affectées : MOVEit Transfer et MOVEit Cloud (toutes versions avant le patch)

Exploitation en masse

Cl0p exploitait CVE-2023-34362 depuis le 27 mai 2023 — le week-end du Memorial Day aux États-Unis, un moment stratégique où les équipes de sécurité sont réduites. En quelques jours :

  • Des milliers de serveurs MOVEit scannés et exploités
  • Aucun ransomware déployé — uniquement de l'exfiltration pure suivie de demandes de rançon pour ne pas publier les données

L'ampleur des victimes

La liste des organisations touchées est vertigineuse :

Gouvernements et administration :

  • États américains : Oregon, Louisiana, Missouri — données de permis de conduire de millions de citoyens
  • Office of Personnel Management (USA) — données de fonctionnaires fédéraux
  • BBC, British Airways, Boots (via Zellis, fournisseur RH)

Finance et assurance :

  • Genworth Financial (~2,7 millions de clients)
  • Teachers Insurance and Annuity Association (TIAA)
  • Pension Benefit Information

Santé :

  • Maximus (~8-11 millions de personnes)
  • Colorado HCPF (~4 millions de Medicaid)
  • Johns Hopkins Medicine

Éducation :

  • Milliers d'universités via des prestataires communs

Chiffres globaux estimés :

  • 2 600+ organisations confirmées touchées
  • 77 millions+ personnes dont les données ont été compromises
  • Plus d'1 milliard de dollars de coût estimé

CVE-2023-35036 et CVE-2023-35708 : les suites

Progress Software a ensuite divulgué deux autres vulnérabilités critiques découvertes lors de l'audit post-incident :

  • CVE-2023-35036 (CVSS 9.1) : deuxième injection SQL, même vecteur
  • CVE-2023-35708 (CVSS 9.8) : troisième injection SQL

Ces vulnérabilités illustrent qu'un audit de sécurité approfondi révèle souvent d'autres failles du même type.

Détecter une compromission

Indicateurs dans les logs IIS/MOVEit

-- Comptes admin créés récemment à des heures inhabituelles
SELECT * FROM moveitisapi.dbo.users 
WHERE permission = 30 
AND createstamp > '2023-05-26'

-- Téléchargements massifs anormaux
SELECT username, filename, filesize, accessstamp 
FROM moveitisapi.dbo.log 
WHERE action = 'Download' 
AND accessstamp > '2023-05-26'
ORDER BY filesize DESC

Fichiers suspects à rechercher

webshell .aspx dans le répertoire MOVEit wwwroot
Comptes utilisateurs avec username généré automatiquement (ex: "Health0851")

Remédiation

1. Patcher immédiatement

Progress Software a publié des patches d'urgence. Vérifiez la page officielle des bulletins de sécurité MOVEit.

2. Bloquer l'accès HTTP/HTTPS temporairement

Si vous ne pouvez pas patcher immédiatement, bloquez tout accès internet au port 443 de votre instance MOVEit.

3. Auditer les accès récents

Vérifiez les logs d'accès, identifiez les fichiers téléchargés et les comptes créés durant la fenêtre d'exposition.

4. Notifier les personnes concernées

Si des données personnelles ont été exfiltrées, appliquez les obligations RGPD/CCPA de notification (72h en Europe).

Leçons de l'attaque MOVEit

  1. Les logiciels de transfert de fichiers sont des cibles prioritaires — ils concentrent des données sensibles et sont souvent exposés sur internet
  2. Une seule injection SQL suffit à tout compromettre — pas besoin de RCE pour voler des téraoctets
  3. Le timing des attaques est stratégique — les week-ends fériés sont exploités intentionnellement
  4. La supply chain est un vecteur majeur — Cl0p a ciblé MOVEit pour toucher des milliers de clients en une seule campagne

Vérifiez si votre version de MOVEit est affectée sur cveo.tech — cherchez moveit pour voir toutes les CVE référencées.

Surveillez les CVE avec l'IA

Recherche IA, scoring CVSS, surveillance de parc et alertes automatiques.

Essayer la recherche IA →Créer un compte gratuit

Articles similaires

Comment suivre les vulnérabilités CVE de son parc informatique

Guide complet pour surveiller et gérer les CVE affectant votre parc informatique : méthodes, outils et bonnes pratiques pour les équipes IT et RSSI.

Guide du patch management : comment traiter les CVE rapidement et efficacement

Découvrez comment mettre en place un processus de patch management CVE robuste : SLA par sévérité, étapes clés, outils et erreurs à éviter pour protéger votre SI.

Les meilleurs outils CVE en 2026 : comparatif complet

Comparatif des meilleurs outils de gestion et surveillance CVE en 2026 : solutions open source, plateformes SaaS, scanners. Quel outil choisir selon votre contexte ?