{"id":20842,"date":"2023-07-17T17:05:59","date_gmt":"2023-07-17T15:05:59","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20842"},"modified":"2023-07-17T17:05:59","modified_gmt":"2023-07-17T15:05:59","slug":"moveit-transfer-attack-protection","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/moveit-transfer-attack-protection\/20842\/","title":{"rendered":"MOVEit : piratage et cons\u00e9quences"},"content":{"rendered":"

M\u00eame si vous ne connaissez pas le logiciel de partage de fichiers pour entreprise MOVEit Transfer, il s\u2019av\u00e8re tout de m\u00eame int\u00e9ressant d\u2019\u00e9tudier comment il a \u00e9t\u00e9 pirat\u00e9, ne serait-ce que pour son ampleur\u00a0: des centaines d\u2019entreprises ont \u00e9t\u00e9 affect\u00e9es dont, entre autres, Shell,\u00a0le d\u00e9partement d\u2019\u00e9ducation de l\u2019\u00e9tat\u00a0de New York, la BBC<\/a>, Boots, Aer Lingus, British Airways, plusieurs fournisseurs de sant\u00e9 importants partout dans le monde, l\u2019universit\u00e9 de G\u00e9orgie et Heidelberger Druck. Ce qui est \u00e0 la fois ironique et triste c\u2019est que les cr\u00e9ateurs (Ipswitch, qui fait d\u00e9sormais partie d\u2019une entreprise connue comme Progress) de MOVEit Transfer<\/a> le d\u00e9crivent comme un \u00ab\u00a0Logiciel de transfert de fichiers s\u00e9curis\u00e9\u00a0\u00bb. Ce syst\u00e8me de transfert de fichiers s\u00e9curis\u00e9 aide les employ\u00e9s \u00e0 partager des fichiers lourds avec les sous-traitants via SFTP, SCP et HTTP, et est disponible en tant que service bas\u00e9 sur le Cloud ou sur site.<\/p>\n

Cette s\u00e9rie d\u2019incidents est une mise en garde pour toutes les personnes responsables de la s\u00e9curit\u00e9 informatique d\u2019une entreprise.<\/p>\n

Comment MOVEit Transfer a \u00e9t\u00e9 pirat\u00e9<\/h2>\n

Sans entrer dans le d\u00e9tail de toutes les turbulences que les utilisateurs de MOVEit ont subi pendant un mois et demi, nous n\u2019allons revenir que sur les \u00e9v\u00e9nements les plus importants.<\/p>\n

Des rapports d\u2019activit\u00e9 suspecte sur les r\u00e9seaux de nombreuses entreprises qui utilisaient MOVEit Transfer ont commenc\u00e9 \u00e0 appara\u00eetre le 27 mai 2023. Selon une enqu\u00eate, les acteurs malveillants exploitaient une vuln\u00e9rabilit\u00e9 inconnue pour voler les donn\u00e9es en lan\u00e7ant des requ\u00eates en SQL.<\/p>\n

Le 31 mai, Progress a publi\u00e9 son premier rapport de s\u00e9curit\u00e9<\/a> qui reprenait bri\u00e8vement tous les correctifs qui avaient \u00e9t\u00e9 d\u00e9ploy\u00e9s jusqu\u2019\u00e0 pr\u00e9sent et qui indiquait les \u00e9tapes \u00e0 suivre pour y rem\u00e9dier. L\u2019entreprise a d\u2019abord cru que le probl\u00e8me ne se limitait qu\u2019aux installations sur site mais a d\u00e9couvert plus tard que la version Cloud de MOVEit \u00e9tait aussi concern\u00e9e<\/a>. Le programme MOVEit Cloud a temporairement \u00e9t\u00e9 indisponible afin de le corriger et de mener l\u2019enqu\u00eate. Les chercheurs de Rapid7 ont compt\u00e9<\/a> 2500 serveurs sur site vuln\u00e9rables.<\/p>\n

Le 2 juin, la vuln\u00e9rabilit\u00e9 \u00e9tait nomm\u00e9e CVE-2023-34362<\/a> et obtenait un score CVSS de 9,8 (sur 10). Les chercheurs qui ont \u00e9tudi\u00e9 l\u2019incident ont attribu\u00e9<\/a> la menace au groupe de ran\u00e7ongiciels cl0p. Les chercheurs de Kroll ont signal\u00e9 le 9 juin que les cybercriminels testaient s\u00fbrement l\u2019exploit de MOVEit depuis 2021<\/a>. Les enqu\u00eates ont r\u00e9v\u00e9l\u00e9 que la cha\u00eene de l\u2019attaque informatique ne se terminait pas n\u00e9cessairement par une injection en SQL et qu\u2019elle pouvait inclure l\u2019ex\u00e9cution d\u2019un code.<\/p>\n

Il faut reconna\u00eetre que Progress ne s\u2019est pas content\u00e9 de corriger le logiciel. L\u2019entreprise a initi\u00e9 un audit du code ce qui a permis \u00e0 l\u2019entreprise Huntress de reproduire la cha\u00eene compl\u00e8te de l\u2019exploit et de d\u00e9couvrir une autre vuln\u00e9rabilit\u00e9, nomm\u00e9e CVE-2023-35025<\/a> et corrig\u00e9e le 9 juin, comme l\u2019a annonc\u00e9 le rapport de s\u00e9curit\u00e9 suivant<\/a>. Avant que de nombreux administrateurs n\u2019aient eu l\u2019opportunit\u00e9 d\u2019installer le correctif, Progress avait d\u00e9couvert un autre probl\u00e8me, CVE-2023-35708<\/a>, et l\u2019a communiqu\u00e9 dans le rapport du 15 juin<\/a>. MOVEit Cloud n\u2019a plus fonctionn\u00e9 pendant dix heures<\/a>, le temps que les corrections soient appliqu\u00e9es.<\/p>\n

Le 15 juin a aussi \u00e9t\u00e9 une date importante pour les cybercriminels qui ont commenc\u00e9 \u00e0 publier les informations de certaines victimes et ont entam\u00e9 les n\u00e9gociations pour le paiement d\u2019une ran\u00e7on<\/a>. Deux jours plus tard, le gouvernement am\u00e9ricain promettait jusqu\u2019\u00e0 10 millions de dollars<\/a> \u00e0 toute personne ayant des informations sur le groupe.<\/p>\n

Le 26 juin, Progress a annonc\u00e9 que MOVEit Cloud serait indisponible pendant trois heures le 2 juillet afin de renforcer la s\u00e9curit\u00e9 du serveur.<\/p>\n

Le 6 juillet, les d\u00e9veloppeurs ont publi\u00e9 une autre mise \u00e0 jour qui corrigeait trois vuln\u00e9rabilit\u00e9s de plus, dont une critique\u00a0: CVE-2023-36934<\/a>,\u00a0CVE-2023-36932<\/a> et\u00a0CVE-2023-36933<\/a>.<\/p>\n

Les services de partage de fichiers sont un vecteur d\u2019attaque pratique<\/h2>\n

L\u2019attaque dont MOVEit Transfer a \u00e9t\u00e9 victime en mai n\u2019est pas la premi\u00e8re de ce genre. Fortra GoAnywhere MFT<\/a> a \u00e9t\u00e9 victime d\u2019une s\u00e9rie d\u2019attaques similaire en janvier, et une vuln\u00e9rabilit\u00e9 du programme Accellion FTA<\/a> a \u00e9t\u00e9 massivement exploit\u00e9e fin 2020.<\/p>\n

De nombreuses attaques cherchent \u00e0 obtenir un acc\u00e8s privil\u00e9gi\u00e9 aux serveurs ou \u00e0 ex\u00e9cuter un code arbitraire, ce qui a aussi \u00e9t\u00e9 le cas lors de cet incident. En g\u00e9n\u00e9ral, l\u2019objectif des cybercriminels est d\u2019effectuer une attaque rapide et avec peu de risque pour acc\u00e9der aux bases de donn\u00e9es du service de partage des fichiers. Cela les aide \u00e0 attraper les fichiers sans avoir \u00e0 p\u00e9n\u00e9trer en profondeur dans le syst\u00e8me et donc de passer inaper\u00e7us. Apr\u00e8s tout, le t\u00e9l\u00e9chargement de fichiers cr\u00e9\u00e9s \u00e0 ces fins n\u2019a rien de suspect.<\/p>\n

D\u2019autre part, les bases de donn\u00e9es des services de partage de fichiers recueillent g\u00e9n\u00e9ralement des informations tr\u00e8s importantes. Ainsi, une des victimes de l\u2019attaque de MOVEit Transfer a reconnu que la fuite de donn\u00e9es contenait les informations de 45 000 \u00e9tablissements scolaires et \u00e9l\u00e8ves<\/a>.<\/p>\n

Pour les \u00e9quipes de s\u00e9curit\u00e9, cela signifie que les applications de ce genre et leur configuration exigent une attention particuli\u00e8re\u00a0: les mesures \u00e0 adopter incluent la limitation des acc\u00e8s administratifs ou encore l\u2019adoption de mesures de s\u00e9curit\u00e9 suppl\u00e9mentaires quant \u00e0 la gestion de la base de donn\u00e9es et la protection du r\u00e9seau. Les entreprises devraient promouvoir un bon comportement informatique aupr\u00e8s de leurs employ\u00e9s en leur apprenant comment supprimer les fichiers du syst\u00e8me de transfert de fichiers d\u00e8s qu\u2019ils n\u2019en ont plus besoin, mais aussi en leur conseillant de ne les partager qu\u2019avec le strict minimum d\u2019utilisateurs.<\/p>\n

Se concentrer sur les serveurs<\/h2>\n

Lorsque les cybercriminels cherchent \u00e0 voler des donn\u00e9es, les serveurs sont une cible facile puisqu\u2019ils ne sont pas surveill\u00e9s de pr\u00e8s et contiennent beaucoup de donn\u00e9es. Sans surprise, en plus d\u2019exploiter massivement les serveurs de c\u00e9l\u00e8bres applications en lan\u00e7ant des attaques comme ProxyShell ou ProxyNotShell<\/a>, les cybercriminels sortent des sentiers battus en ma\u00eetrisant le chiffrement de fermes de serveurs ESXi<\/a> ou des bases de donn\u00e9es d\u2019Oracle<\/a>, ou en essayant de tirer profit de services comme MOVEit Transfer qui sont connus au sein des entreprises mais qui ont peu de succ\u00e8s aupr\u00e8s des utilisateurs courants. C\u2019est pourquoi les \u00e9quipes de s\u00e9curit\u00e9 doivent se concentrer sur les serveurs\u00a0:<\/p>\n