Getty Images
Rubrik, la société de sécurité des données de la Silicon Valley, a déclaré avoir subi une intrusion réseau rendue possible par une vulnérabilité zero-day dans un produit qu’elle utilisait appelé GoAnywhere.
Dans un avis publié mardi, Rubrik CISO Michael Mestrovich a déclaré qu’une enquête sur la violation avait révélé que les intrus avaient eu accès principalement à des informations sur les ventes internes, y compris les noms de sociétés et leurs coordonnées, ainsi qu’à un nombre limité de bons de commande de distributeurs Rubrik. L’enquête, qui a été aidée par une société tierce non identifiée, a conclu qu’il n’y avait aucune exposition d’informations sensibles telles que les numéros de sécurité sociale, les numéros de compte financier ou les données de carte de paiement.
Lèvres serrées
“Nous avons détecté un accès non autorisé à une quantité limitée d’informations dans l’un de nos environnements de test informatique hors production en raison de la vulnérabilité GoAnywhere”, a écrit Mestrovich. “Il est important de noter que, sur la base de notre enquête en cours, menée avec l’aide d’experts tiers en criminalistique, l’accès non autorisé n’incluait PAS les données que nous sécurisons au nom de nos clients via les produits Rubrik.”
Mestrovich a laissé des détails clés en dehors de la divulgation, notamment quand la violation s’est produite et quand ou si Rubrik a corrigé la vulnérabilité. Le 2 février, la société de cybersécurité Fortra a averti en privé ses clients qu’elle avait identifié des exploits zero-day d’une vulnérabilité dans son GoAnywhere MFT, une application de transfert de fichiers gérée de niveau entreprise. Fortra a exhorté les clients à prendre des mesures pour atténuer la menace jusqu’à ce qu’un correctif soit disponible. Le 6 février, Fortra a corrigé la vulnérabilité, identifiée comme CVE-2023-0669, avec la sortie de la version 7.1.2
Sans savoir quand l’intrusion s’est produite, il est impossible de déterminer si la vulnérabilité était un jour zéro au moment où elle a été exploitée contre Rubrik, ou si la violation est le résultat du fait que Rubrik n’a pas installé un correctif disponible ou pris d’autres mesures d’atténuation dans un manière opportune.
Publicité
Les représentants de Rubrik n’ont pas répondu à un e-mail demandant des commentaires sur le moment de l’intrusion et quand ou si l’entreprise a corrigé ou atténué la vulnérabilité. Ce message sera mis à jour si ces informations deviennent disponibles ultérieurement.
Le CVE qui continue de donner
CVE-2023-0669 s’est avéré être un atout précieux pour les acteurs de la menace. Deux semaines après que Fortra a révélé la vulnérabilité pour la première fois, l’une des plus grandes chaînes d’hôpitaux aux États-Unis a déclaré que des pirates l’avaient exploitée lors d’une intrusion qui a permis aux pirates d’accéder aux informations de santé protégées d’un million de patients. Les données compromises comprenaient des informations de santé protégées telles que définies par la loi sur la portabilité et la responsabilité de l’assurance maladie, ainsi que les informations personnelles des patients, a déclaré la chaîne hospitalière Community Health Systems de Franklin, Tennessee.
Récemment, Bleeping Computer a rapporté que des membres du gang de rançongiciels Clop se sont attribués le mérite d’avoir piraté 130 organisations en exploitant la vulnérabilité GoAnywhere. Les recherches de la société de sécurité Huntress ont confirmé que le logiciel malveillant utilisé dans les intrusions exploitant CVE-2023-0669 avait des liens indirects avec Clop.
Récemment, le site Web sombre de Clop a affirmé que le groupe de rançongiciels avait violé Rubrik. Pour preuve, l’acteur menaçant a publié neuf captures d’écran qui semblaient montrer des informations exclusives appartenant à Rubrik. Les captures d’écran semblaient confirmer l’affirmation de Rubrik selon laquelle les données obtenues lors de l’intrusion se limitaient principalement aux informations de vente internes.
Le site Clop a également affirmé que le groupe avait piraté Hatch Bank et fourni 10 captures d’écran qui semblaient confirmer l’affirmation. Hatch Bank, une banque qui fournit des services aux entreprises de technologie financière, a déclaré fin février avoir subi une brèche qui a donné accès aux noms et numéros de sécurité sociale d’environ 140 000 clients. Une lettre que Hatch Bank a envoyée à certains clients a identifié comme cause une vulnérabilité zero-day dans GoAnywhere.
Si ce n’était pas clair avant, ça devrait l’être maintenant : CVE-2023-0669 représente une menace majeure. Quiconque utilise GoAnywhere doit en priorité enquêter sur son exposition à cette vulnérabilité et réagir en conséquence.
