CVE-2026-4670 : MOVEit Automation rouvre la plaie de 2023

Les faits

Le 4 mai 2026, Progress Software a publié un avis de sécurité concernant deux vulnérabilités critiques affectant MOVEit Automation, le moteur d'orchestration de transferts de fichiers managés (MFT) qui complète la suite MOVEit Transfer. La principale, CVE-2026-4670, est un contournement d'authentification de classe CWE-305 (Authentication Bypass by Primary Weakness) qui décroche un score CVSS v3.1 de 9.8 sur 10 — la note maximale réservée aux failles non-authentifiées exploitables à distance avec un impact total sur la confidentialité, l'intégrité et la disponibilité.

L'origine de la faille se situe dans le service backend command port interface, l'interface de commande utilisée par les composants internes de MOVEit Automation pour orchestrer les flux. Selon l'analyse de Progress, un attaquant non authentifié peut soumettre des requêtes spécifiques à ce port et obtenir un accès équivalent à un compte administrateur sans présenter de credentials valides. La vulnérabilité a été découverte et signalée privément par les chercheurs d'Airbus SecLab, le laboratoire de recherche offensive de l'avionneur européen, qui n'ont pas publié de proof-of-concept à ce stade.

Le périmètre touché est large. Sont vulnérables les versions MOVEit Automation 2025.1.4 (build 17.1.4) et antérieures, 2025.0.8 (build 17.0.8) et antérieures, ainsi que 2024.1.7 (build 16.1.7) et antérieures. Progress a publié simultanément trois branches correctives — 2025.1.5, 2025.0.9 et 2024.1.8 — disponibles uniquement via l'installeur complet (full installer). L'éditeur précise qu'il n'existe pas de correctif sous forme de patch incrémental et que la mise à jour entraîne nécessairement une interruption de service le temps de la réinstallation.

La seconde vulnérabilité, CVE-2026-5174, est une élévation de privilèges qui n'a pas été chiffrée publiquement par Progress mais qui, combinée à CVE-2026-4670, permet à un attaquant distant non-authentifié d'obtenir le contrôle administratif complet d'une instance MOVEit Automation. Ce niveau d'accès donne notamment la main sur les credentials chiffrés stockés dans les définitions de tâches : identifiants SFTP, AS2, FTP, comptes de service Active Directory, clés API cloud — autant de pivots vers le reste du SI.

À l'heure de la publication, Progress n'a pas observé d'exploitation active de CVE-2026-4670 dans la nature, et Airbus SecLab n'a pas publié de PoC. Toutefois, le contexte historique impose la prudence maximale. En mai 2023, la faille CVE-2023-34362 dans MOVEit Transfer avait été exploitée comme zero-day par le groupe Cl0p contre plus de 2 700 organisations, dont la chaîne d'approvisionnement de Shell, British Airways, BBC, Ernst & Young, ainsi que des dizaines d'agences fédérales américaines. La proximité technique entre MOVEit Transfer et MOVEit Automation, et l'appétence connue des opérateurs ransomware pour les outils de transfert managé, font de toute vulnérabilité critique sur ces plateformes un risque imminent.

Le centre belge de cybersécurité (CCB) a publié dès le 5 mai un avis demandant un patch immédiat à toutes les organisations belges utilisant MOVEit Automation. Le CERT-FR n'a pas encore émis de bulletin spécifique au moment de la rédaction, mais le signal européen est clair : les MFT sont à nouveau dans le viseur, et la fenêtre entre divulgation et exploitation se réduit drastiquement depuis 2024 — souvent moins de 72 heures pour les CVSS supérieures à 9 documentées dans le KEV de CISA.

Le ciblage probable concerne en priorité les institutions financières, les ETI industrielles avec partenaires multiples, les hébergeurs et MSP qui utilisent MOVEit Automation comme orchestrateur de flux EDI ou bancaires, ainsi que les administrations qui ont opté pour cette solution dans le cadre de marchés publics historiques. Les statistiques Shodan recensaient début 2026 environ 4 200 instances MOVEit Automation directement exposées sur Internet, dont une part significative en Europe.

Impact et exposition

L'exploitation réussie de la chaîne CVE-2026-4670 + CVE-2026-5174 permet à un attaquant non authentifié, depuis n'importe quel point Internet où l'instance est joignable, d'accéder en lecture-écriture à la configuration complète de MOVEit Automation. Concrètement : récupération des credentials stockés en clair après déchiffrement par le moteur, modification ou création de tâches automatisées pour exfiltrer des fichiers, suppression des journaux d'audit, et mouvement latéral vers les systèmes cibles dont les credentials sont enregistrés. Le périmètre de compromission s'étend potentiellement à tout le tissu de partenaires connectés à l'instance — ce qui en fait un vecteur supply-chain pur, à l'image de l'affaire Cl0p de 2023.

Recommandations

• Appliquer immédiatement le patch correspondant à votre branche : 2025.1.5, 2025.0.9 ou 2024.1.8. La mise à jour exige l'installeur complet et provoque une interruption de service à planifier hors heures critiques
• Si le patch ne peut être appliqué dans les 24h, isoler l'instance MOVEit Automation derrière un VPN ou un reverse proxy authentifié, et bloquer l'accès Internet au backend command port interface
• Roter en priorité tous les credentials stockés dans les tâches MOVEit : comptes de service AD, mots de passe SFTP/FTP, clés API, certificats AS2 — sans attendre la confirmation d'une exploitation
• Examiner les journaux MOVEit Automation et les logs réseau associés depuis le 1er avril 2026 à la recherche d'accès anormaux au backend command port
• Déployer une règle SIEM sur les modifications de configuration MOVEit Automation hors fenêtres de change planifiées
• Vérifier l'exposition Internet des instances via Shodan ou Censys avec les bannières propres à MOVEit Automation