Posté le juin 3, 2023 à 6:31
DES HACKERS EXPLOITENT UNE FAILLE SUR L’OUTIL DE TRANSFERT DE FICHIERS MOVEIT POUR MENER DES ATTAQUES
Des chercheurs en cybersécurité ont tiré la sonnette d’alarme après que des hackers ont été détectés en train d’exploiter une faille récemment détectée présente sur l’un des principaux outils de transfert de fichiers. L’outil de transfert de fichiers compromis est populaire, et il est utilisé par des milliers d’organisations pour dévoiler une nouvelle vague d’exploits d’exfiltration massive de données.
Des hackers lancent des attaques massives de piratage informatique
La vulnérabilité en question a été détectée sur le logiciel de transfert de fichiers géré (MFT) MOVEit Transfer, créé par Ipswitch. Cette dernière est une filiale de Progress Software située aux États-Unis. Ce logiciel permet aux organisations de partager de grands ensembles de données et de fichiers via l’internet.
La vulnérabilité en question a été révélée par Progress, qui a indiqué avoir détecté un flux de sécurité dans l’outil de transfert de fichiers MOVEit. Le rapport indique en outre que cette faille de sécurité peut entraîner une escalade des privilèges et potentiellement conduire à un accès non autorisé à l’appareil ciblé. Le rapport invite les utilisateurs de l’outil de transfert de fichiers à désactiver le trafic Internet vers l’environnement MOVEit Transfer.
Un correctif pour la vulnérabilité en question a déjà été publié, et le rapport Progress demande instamment aux utilisateurs de s’assurer qu’ils ont appliqué le correctif afin d’empêcher l’exploitation de la faille. Cette initiative fait suite à un rapport publié par l’agence Américaine de cybersécurité CISA, qui invitait les organisations américaines utilisant l’outil de transfert de fichiers à prendre les mesures d’atténuation appropriées et à installer les mises à jour nécessaires pour prévenir les activités malveillantes.
Les outils de transfert de fichiers sont une cible de choix pour les hackers
Les outils de transfert de fichiers d’entreprise sont de plus en plus la cible des hackers, car la détection d’une faille dans un système d’entreprise de premier plan permet de voler les données de plusieurs victimes. Les hackers qui ciblent ces systèmes ont généralement accès à un large éventail de données.
L’un des porte-parole de Progress, Jocelyn VerVelde, n’a pas mentionné le nombre d’organisations qui utilisent l’outil de transfert de fichiers compromis. Cependant, le site web de ce logiciel indique que l’outil a été utilisé par des milliers d’organisations dans le monde.
Les données du moteur de recherche Shodan montrent qu’il y a plus de 2 500 serveurs MOVEit Transfer qui peuvent être localisés sur Internet. La majorité de ces serveurs sont situés au Canada, en Allemagne, aux Pays-Bas et au Royaume-Uni.
La faille en question affecte également les clients qui dépendent de la plateforme cloud MOVEit Transfer. Au moins une des instances exposées est liée au ministère Américain de la sécurité intérieure et à d’autres grandes banques. Ces banques figureraient parmi les utilisateurs de la plateforme MOVEit.
La faille a aussi été détectée par certaines entreprises de cybersécurité. Un rapport de Mandiant indique que l’entreprise enquête sur de multiples intrusions liées à la vulnérabilité du logiciel MOVEit. Le directeur technique de Mandiant, Charles Carmakal, a déclaré qu’il existait des preuves de l’exfiltration des données de plusieurs victimes.
La société de cybersécurité Huntress a également publié un billet de blog sur cette faille. L’entreprise a déclaré qu’un de ses clients avait signalé une attaque qui présentait tous les signes de compromission correspondants.
La société de cybersécurité Rapid7 a pareillement déclaré qu’il existait des signes d’exploitation de la faille et de vol de données. L’entreprise de sécurité a indiqué que l’exploitation s’était produite dans au moins quatre incidents distincts. La société a noté qu’il y avait aussi des preuves des hackers derrière les exploits de piratage.
La date à laquelle l’exploit a commencé n’a pas été précisée. Toutefois, la startup GreyNoise spécialisée dans le renseignement sur les menaces a déclaré avoir détecté une activité de balayage sur cette violation dès le 3 mars. L’entreprise a demandé à tous les utilisateurs de vérifier leurs systèmes afin de déceler tout signe d’accès non autorisé qui aurait pu se produire au cours des trois derniers mois.
M. Condon, de Rapid7, a déclaré que le comportement de l’attaquant semblait plus opportuniste que ciblé. Le chercheur a également noté que l’exploitation semblait être le fait d’un seul acteur de menaces qui menait les exploits de manière indiscriminée sur les cibles exposées.
Il s’agit du dernier effort en date des hackers et des groupes d’extorsion pour cibler les entreprises qui proposent des systèmes de transfert de fichiers. En janvier, un groupe de ransomware basé en Russie et connu sous le nom de Clop a admis être à l’origine d’un exploit sur le logiciel de transfert de fichiers géré Fortra GoAnywhere. À l’époque, plus de 130 organisations utilisant ce logiciel étaient visées.
Le groupe de ransomware Clop a par ailleurs exploité avec succès un autre outil de transfert de fichiers de premier plan en 2021. À l’époque, le groupe avait exploité l’outil de partage de fichiers Accellion pour mener des attaques contre plusieurs organisations, dont le géant bancaire Morgan Stanley.