Même si vous ne connaissez pas le logiciel de partage de fichiers pour entreprise MOVEit Transfer, il s’avère tout de même intéressant d’étudier comment il a été piraté, ne serait-ce que pour son ampleur : des centaines d’entreprises ont été affectées dont, entre autres, Shell, le département d’éducation de l’état de New York, la BBC, Boots, Aer Lingus, British Airways, plusieurs fournisseurs de santé importants partout dans le monde, l’université de Géorgie et Heidelberger Druck. Ce qui est à la fois ironique et triste c’est que les créateurs (Ipswitch, qui fait désormais partie d’une entreprise connue comme Progress) de MOVEit Transfer le décrivent comme un « Logiciel de transfert de fichiers sécurisé ». Ce système de transfert de fichiers sécurisé aide les employés à partager des fichiers lourds avec les sous-traitants via SFTP, SCP et HTTP, et est disponible en tant que service basé sur le Cloud ou sur site.
Cette série d’incidents est une mise en garde pour toutes les personnes responsables de la sécurité informatique d’une entreprise.
Comment MOVEit Transfer a été piraté
Sans entrer dans le détail de toutes les turbulences que les utilisateurs de MOVEit ont subi pendant un mois et demi, nous n’allons revenir que sur les événements les plus importants.
Des rapports d’activité suspecte sur les réseaux de nombreuses entreprises qui utilisaient MOVEit Transfer ont commencé à apparaître le 27 mai 2023. Selon une enquête, les acteurs malveillants exploitaient une vulnérabilité inconnue pour voler les données en lançant des requêtes en SQL.
Le 31 mai, Progress a publié son premier rapport de sécurité qui reprenait brièvement tous les correctifs qui avaient été déployés jusqu’à présent et qui indiquait les étapes à suivre pour y remédier. L’entreprise a d’abord cru que le problème ne se limitait qu’aux installations sur site mais a découvert plus tard que la version Cloud de MOVEit était aussi concernée. Le programme MOVEit Cloud a temporairement été indisponible afin de le corriger et de mener l’enquête. Les chercheurs de Rapid7 ont compté 2500 serveurs sur site vulnérables.
Le 2 juin, la vulnérabilité était nommée CVE-2023-34362 et obtenait un score CVSS de 9,8 (sur 10). Les chercheurs qui ont étudié l’incident ont attribué la menace au groupe de rançongiciels cl0p. Les chercheurs de Kroll ont signalé le 9 juin que les cybercriminels testaient sûrement l’exploit de MOVEit depuis 2021. Les enquêtes ont révélé que la chaîne de l’attaque informatique ne se terminait pas nécessairement par une injection en SQL et qu’elle pouvait inclure l’exécution d’un code.
Il faut reconnaître que Progress ne s’est pas contenté de corriger le logiciel. L’entreprise a initié un audit du code ce qui a permis à l’entreprise Huntress de reproduire la chaîne complète de l’exploit et de découvrir une autre vulnérabilité, nommée CVE-2023-35025 et corrigée le 9 juin, comme l’a annoncé le rapport de sécurité suivant. Avant que de nombreux administrateurs n’aient eu l’opportunité d’installer le correctif, Progress avait découvert un autre problème, CVE-2023-35708, et l’a communiqué dans le rapport du 15 juin. MOVEit Cloud n’a plus fonctionné pendant dix heures, le temps que les corrections soient appliquées.
Le 15 juin a aussi été une date importante pour les cybercriminels qui ont commencé à publier les informations de certaines victimes et ont entamé les négociations pour le paiement d’une rançon. Deux jours plus tard, le gouvernement américain promettait jusqu’à 10 millions de dollars à toute personne ayant des informations sur le groupe.
Le 26 juin, Progress a annoncé que MOVEit Cloud serait indisponible pendant trois heures le 2 juillet afin de renforcer la sécurité du serveur.
Le 6 juillet, les développeurs ont publié une autre mise à jour qui corrigeait trois vulnérabilités de plus, dont une critique : CVE-2023-36934, CVE-2023-36932 et CVE-2023-36933.
Les services de partage de fichiers sont un vecteur d’attaque pratique
L’attaque dont MOVEit Transfer a été victime en mai n’est pas la première de ce genre. Fortra GoAnywhere MFT a été victime d’une série d’attaques similaire en janvier, et une vulnérabilité du programme Accellion FTA a été massivement exploitée fin 2020.
De nombreuses attaques cherchent à obtenir un accès privilégié aux serveurs ou à exécuter un code arbitraire, ce qui a aussi été le cas lors de cet incident. En général, l’objectif des cybercriminels est d’effectuer une attaque rapide et avec peu de risque pour accéder aux bases de données du service de partage des fichiers. Cela les aide à attraper les fichiers sans avoir à pénétrer en profondeur dans le système et donc de passer inaperçus. Après tout, le téléchargement de fichiers créés à ces fins n’a rien de suspect.
D’autre part, les bases de données des services de partage de fichiers recueillent généralement des informations très importantes. Ainsi, une des victimes de l’attaque de MOVEit Transfer a reconnu que la fuite de données contenait les informations de 45 000 établissements scolaires et élèves.
Pour les équipes de sécurité, cela signifie que les applications de ce genre et leur configuration exigent une attention particulière : les mesures à adopter incluent la limitation des accès administratifs ou encore l’adoption de mesures de sécurité supplémentaires quant à la gestion de la base de données et la protection du réseau. Les entreprises devraient promouvoir un bon comportement informatique auprès de leurs employés en leur apprenant comment supprimer les fichiers du système de transfert de fichiers dès qu’ils n’en ont plus besoin, mais aussi en leur conseillant de ne les partager qu’avec le strict minimum d’utilisateurs.
Se concentrer sur les serveurs
Lorsque les cybercriminels cherchent à voler des données, les serveurs sont une cible facile puisqu’ils ne sont pas surveillés de près et contiennent beaucoup de données. Sans surprise, en plus d’exploiter massivement les serveurs de célèbres applications en lançant des attaques comme ProxyShell ou ProxyNotShell, les cybercriminels sortent des sentiers battus en maîtrisant le chiffrement de fermes de serveurs ESXi ou des bases de données d’Oracle, ou en essayant de tirer profit de services comme MOVEit Transfer qui sont connus au sein des entreprises mais qui ont peu de succès auprès des utilisateurs courants. C’est pourquoi les équipes de sécurité doivent se concentrer sur les serveurs :
- Corriger en priorité le serveur
- Utiliser une solution EDR
- Limiter l’accès privilégié
- Sécuriser les conteneurs, les machines virtuelles, etc.
Si on dirait qu’une application a peu de vulnérabilités, cela signifie que personne ne les a cherchées
L’ordre des priorités apparaît toujours lorsqu’une entreprise commence à aborder le sujet des correctifs. Les vulnérabilités se comptent par centaines et il est impossible de toutes les corriger en même temps, dans toutes les applications et sur tous les ordinateurs. C’est pourquoi les administrateurs système doivent se concentrer sur les vulnérabilités les plus dangereuses, ou sur celles qui sont les plus répandues puisqu’elles touchent des programmes connus. L’incident de MOVEit nous apprend que cet environnement est dynamique : si vous avez passé l’année dernière à corriger les failles d’Exchange ou d’autres produits Microsoft, cela ne signifie pas pour autant que vous devez vous concentrer uniquement sur ces programmes. Il est essentiel de suivre les tendances deThreat Intelligence pour éliminer de nouvelles menaces spécifiques et pour anticiper l’impact qu’elles pourraient avoir sur votre entreprise.