Quelle est cette nouvelle vulnérabilité qui inquiète tant les chercheurs en sécurité informatique ? Il s’agit d’une faille découverte récemment dans l’outil de transfert de fichiers MOVEit, utilisé par des milliers d’organisations. Comment cette vulnérabilité est-elle exploitée par les pirates informatiques ? Elle concerne le logiciel de transfert de fichiers géré (MFT) MOVEit Transfer développé par Ipswitch, une filiale de Progress Software, basée aux États-Unis.
Progress a confirmé mercredi avoir découvert une faille dans MOVEit Transfer qui pourrait « entraîner une élévation de privilèges et un accès non autorisé à l’environnement ». Les utilisateurs ont été invités à désactiver le trafic Internet vers leur environnement MOVEit Transfer. Mais que faire si l’on est concerné par cette vulnérabilité ? Des correctifs sont disponibles et Progress invite instamment tous les clients à les appliquer de toute urgence.
Des chercheurs en cybersécurité ont déjà observé des signes d’exploitation et de vol de données liés à cette vulnérabilité.
Qu’en dit l’agence de cybersécurité américaine, la CISA ? Elle exhorte également les organisations américaines à suivre les étapes d’atténuation de Progress, à appliquer les mises à jour nécessaires et à rechercher toute activité malveillante. Pourquoi les outils de transfert de fichiers d’entreprise sont-ils devenus une cible de choix pour les pirates informatiques ? La découverte d’une vulnérabilité dans un système d’entreprise populaire peut permettre le vol de données auprès de plusieurs victimes.
Combien d’organisations sont touchées par cette faille dans l’outil de transfert de fichiers ? La porte-parole de Progress, Jocelyn VerVelde, n’a pas donné de chiffres précis, mais le site de l’entreprise indique que le logiciel est utilisé par « des milliers d’organisations dans le monde entier ». Une recherche sur Shodan, un moteur de recherche pour les appareils et les bases de données accessibles au public, révèle plus de 2 500 serveurs MOVEit Transfer découvrables sur Internet, principalement aux États-Unis, ainsi qu’au Royaume-Uni, en Allemagne, aux Pays-Bas et au Canada. La vulnérabilité affecte également les clients qui utilisent la plate-forme cloud MOVEit Transfer.
Plusieurs entreprises de sécurité ont déjà observé des preuves d’exploitation de cette vulnérabilité. Mandiant enquête sur « plusieurs intrusions » liées à l’exploitation de la faille MOVEit. Charles Carmakal, directeur technique de Mandiant, a confirmé que l’entreprise avait « vu des preuves d’exfiltration de données auprès de plusieurs victimes ». La start-up en cybersécurité Huntress indique également dans un billet de blog qu’un de ses clients a observé « toute la chaîne d’attaque et tous les indicateurs de compromission correspondants ».
Le coupable de cette exploitation massive des serveurs MOVEit est-il déjà identifié ? Pour le moment, il n’est pas possible de désigner avec certitude les responsables. Caitlin Condon, responsable de la recherche en sécurité chez Rapid7, a déclaré à TechCrunch que le comportement de l’attaquant semble « opportuniste plutôt que ciblé » et que cela « pourrait être l’œuvre d’un seul acteur malveillant lançant un exploit sans discernement sur des cibles exposées ».
La question demeure donc : qui est responsable de cette exploitation massive des serveurs MOVEit, et comment les organisations concernées peuvent-elles se protéger efficacement contre les cyberattaques et les vols de données à venir ?
Source : Techcrunch
