Progress alerte sur une faille critique de contournement d’authentification dans MOVEit Automation

Progress alerte sur une faille critique de contournement d'authentification dans MOVEit Automation

Progress Software alerte ses clients sur une faille critique de contournement d’authentification dans son application MOVEit Automation, un outil de transfert de fichiers géré de niveau entreprise.

Cette solution automatise les workflows de données complexes sans recours à des scripts manuels. Elle agit comme un orchestrateur central pour programmer et superviser les transferts de fichiers entre serveurs locaux, stockages cloud et partenaires externes.

La vulnérabilité, répertoriée sous le numéro CVE-2026-4670, impacte les versions de MOVEit Automation antérieures à 2025.1.5, 2025.0.9 et 2024.1.8. Des acteurs malveillants distants peuvent l’exploiter sans privilèges sur les systèmes visés, via des attaques de faible complexité ne nécessitant aucune interaction utilisateur.

Recommandations et mises à jour

Dans un avis publié jeudi, l’éditeur indique avoir corrigé la faille. L’équipe de MOVEit Automation préconise une mise à niveau vers la dernière version via l’installeur complet, seule méthode pour remédier au problème. Une interruption du service survient pendant l’opération.

Le même jour, Progress Software a déployé des correctifs pour une autre faille de gravité élevée, CVE-2026-5174, liée à une validation incorrecte des entrées dans le même logiciel, permettant une escalade de privilèges.

MOVEit Automation instances exposed online
Map of MOVEit Automation instances exposed online (Shodan)

Exposition et historique des attaques

Une recherche sur Shodan, partagée par le consultant en cybersécurité Daniel Card, révèle plus de 1 400 instances de MOVEit Automation accessibles sur Internet, dont une douzaine liées à des agences gouvernementales locales et étatiques américaines. Aucune donnée n’indique combien d’entre elles sont protégées contre les attaques via CVE-2026-4670.

L’éditeur n’a pas signalé d’exploitation active de ces failles dans la nature. Néanmoins, d’autres vulnérabilités dans les solutions MFT de MoveIT ont été visées par des cybercriminels ces dernières années.

En 2023, le groupe de ransomwares Clop a profité d’une faille zero-day dans MOVEit Transfer pour une vaste campagne de vol de données touchant plus de 2 100 organisations et 62 millions de personnes, selon les estimations d’Emsisoft.

Les logiciels MFT attirent particulièrement les opérateurs de ransomwares, comme l’ont montré des campagnes antérieures de Clop contre des failles dans Accellion FTA, SolarWinds Serv-U, Gladinet CentreStack, GoAnywhere MFT et Cleo.

Progress Software précise que ses solutions MOVEit MFT équipent plus de 3 000 organisations d’entreprise et 100 000 utilisateurs à travers le monde.