Getty Images
Les organisations, grandes et petites, sont la proie de l’exploitation massive d’une vulnérabilité critique dans un programme de transfert de fichiers largement utilisé. L’exploitation a commencé pendant les vacances du Memorial Day – alors que la vulnérabilité critique était encore un jour zéro – et se poursuit maintenant, environ neuf jours plus tard.
Lundi soir, le service de paie Zellis, la province canadienne de la Nouvelle-Écosse, British Airways, la BBC et le détaillant britannique Boots étaient tous connus pour s’être fait voler des données lors des attaques, qui sont alimentées par une vulnérabilité récemment corrigée dans MOVEit, un fournisseur de transfert de fichiers qui offre à la fois des services cloud et sur site. La Nouvelle-Écosse et Zellis ont vu leurs propres instances ou services cloud violés. British Airways, la BBC et Boots étaient des clients de Zellis. Toutes les activités de piratage ont été attribuées au syndicat du crime russophone Clop.
Répandue et assez conséquente
Malgré le nombre relativement faible d’infractions confirmées, les chercheurs surveillant les attaques en cours décrivent l’exploitation comme étant généralisée. Ils comparent les hacks à des vols à main armée, dans lesquels une fenêtre est brisée et les voleurs saisissent tout ce qu’ils peuvent, et ont averti que les braquages rapides frappent les banques, les agences gouvernementales et d’autres cibles en nombre alarmant.
“Nous avons une poignée de clients qui utilisaient MOVEit Transfer ouvert à Internet, et ils ont tous été compromis”, a écrit Steven Adair, président de la société de sécurité Volexity, dans un e-mail. “D’autres personnes à qui nous avons parlé ont vu la même chose.”
Adair a poursuivi :
Je ne veux pas catégoriser nos clients à ce stade car je ne sais pas ce qui existe en termes de qui exécute le logiciel et les donne. Cela dit, cependant, ce sont à la fois les grandes et les petites organisations qui ont été touchées. Les cas que nous avons examinés ont tous impliqué un certain niveau d’exfiltration de données. Les attaquants saisissaient généralement les fichiers des serveurs MOVEit moins de deux heures après l’exploitation et l’accès au shell. Nous pensons que cela était probablement répandu et qu’un nombre assez important de serveurs MOVEit Transfer qui exécutaient des services Web accessibles sur Internet ont été compromis.
Caitlin Condon, responsable principale de la recherche en sécurité qui dirige la branche de recherche de la société de sécurité Rapid7, a déclaré que son équipe réserve normalement le terme «menace généralisée» aux événements impliquant «de nombreux attaquants, de nombreuses cibles». Les attentats en cours n’ont ni l’un ni l’autre. Jusqu’à présent, il n’y a qu’un seul attaquant connu : Clop, un groupe russophone qui fait partie des acteurs de ransomware les plus prolifiques et les plus actifs. Et avec le moteur de recherche Shodan indexant seulement 2 510 instances MOVEit accessibles sur Internet lorsque les attaques ont commencé, il est juste de dire qu’il n’y a pas « beaucoup de cibles », relativement parlant.
Publicité
Dans ce cas, cependant, Rapid7 fait une exception.
“Nous ne voyons pas d’acteurs menaçant les produits de base ou d’attaquants peu qualifiés lancer des exploits ici, mais l’exploitation de cibles de grande valeur disponibles à l’échelle mondiale dans un large éventail de tailles d’organisation, de secteurs verticaux et de géolocalisations fait pencher la balance pour nous sur la classification de cela comme une menace généralisée », a-t-elle expliqué dans un SMS.
Elle a noté que lundi n’était que le troisième jour ouvrable depuis que l’incident était devenu largement connu et que de nombreuses victimes apprenaient peut-être seulement maintenant qu’elles avaient été compromises. “Nous nous attendons à voir une liste plus longue de victimes sortir au fil du temps, en particulier à mesure que les exigences réglementaires en matière de signalement entrent en jeu”, a-t-elle écrit.
Le chercheur indépendant Kevin Beaumont, quant à lui, a déclaré sur les réseaux sociaux dimanche soir : “J’ai suivi cela – il y a un nombre à deux chiffres d’organisations qui se sont fait voler des données, y compris plusieurs organisations gouvernementales et bancaires américaines.”
La vulnérabilité MOVEit provient d’une faille de sécurité qui permet l’injection SQL, l’une des classes d’exploit les plus anciennes et les plus courantes. Souvent abrégées en SQLi, ces vulnérabilités proviennent généralement d’un échec d’une application Web à nettoyer correctement les requêtes de recherche et autres saisies utilisateur de caractères qu’une application pourrait considérer comme une commande. En saisissant des chaînes spécialement conçues dans des champs de sites Web vulnérables, les attaquants peuvent inciter une application Web à renvoyer des données confidentielles, à accorder des privilèges administratifs au système ou à modifier le fonctionnement de l’application.
Calendrier
Selon un article publié lundi par la société de sécurité Mandiant, les premiers signes de la frénésie d’exploitation de Clop se sont produits le 27 mai. Dans certains cas, le vol de données s’est produit quelques minutes après l’installation d’un webshell personnalisé suivi sous le nom de LemurLoot, ont déclaré les chercheurs. Ils ont ajouté :
Mandiant a connaissance de plusieurs cas où de gros volumes de fichiers ont été volés dans les systèmes de transfert MOVEit des victimes. LEMURLOOT peut également voler des informations Azure Storage Blob, y compris des informations d’identification, à partir des paramètres de l’application MOVEit Transfer, ce qui suggère que les acteurs exploitant cette vulnérabilité peuvent voler des fichiers à Azure dans les cas où les victimes stockent des données d’appliance dans Azure Blob Storage, bien qu’il ne soit pas clair si le vol est limité aux données stockées de cette manière.
Le webshell est déguisé avec des noms de fichiers tels que “human2.aspx” et “human2.aspx.lnk” dans une tentative de se faire passer pour human.aspx, un composant légitime du service MOVEit Transfer. Mandiant a également déclaré avoir “observé plusieurs requêtes POST adressées au fichier guestaccess.aspx légitime avant l’interaction avec le webshell LEMURLOOT, indiquant que des attaques SQLi étaient dirigées vers ce fichier”.
Publicité
Le 31 mai, quatre jours après le début des premières attaques, Progress, le fournisseur de MOVEit, a corrigé la vulnérabilité. En l’espace d’une journée, des publications sur les réseaux sociaux ont fait surface, signalant que la vulnérabilité était exploitée par un acteur menaçant qui installait un fichier nommé human2.aspx dans le répertoire racine des serveurs vulnérables. Les entreprises de sécurité ont rapidement confirmé les informations.
L’attribution officielle que Clop est à l’origine des attaques est venue dimanche de Microsoft, qui a lié les attaques à “Lace Tempest”, le nom que les chercheurs de l’entreprise utilisent pour suivre une opération de ransomware qui gère le site Web d’extorsion pour le groupe de ransomwares Clop. Mandiant, quant à lui, a découvert que les tactiques, techniques et procédures utilisées dans l’attaque correspondaient à celles d’un groupe identifié comme FIN11, qui a déployé le rançongiciel Clop dans le passé.
Clop est le même acteur menaçant qui a exploité en masse CVE-2023-0669, une vulnérabilité critique dans un autre service de transfert de fichiers connu sous le nom de GoAnywhere. Cette frénésie de piratage a permis à Clop de faire tomber la société de sécurité des données Rubrik, d’obtenir des informations sur la santé d’un million de patients auprès de l’une des plus grandes chaînes d’hôpitaux et (selon Bleeping Computer) de s’attribuer le mérite du piratage de 130 organisations. Les recherches de la société de sécurité Huntress ont également confirmé que le logiciel malveillant utilisé dans les intrusions exploitant CVE-2023-0669 avait des liens indirects avec Clop.
Jusqu’à présent, il n’y a aucun rapport connu de victimes ayant reçu des demandes de rançon. Le site d’extorsion Clop n’a également fait aucune mention jusqu’à présent des attaques. “Si le but de cette opération est l’extorsion”, ont écrit des chercheurs de Mandiant, “nous prévoyons que les organisations de victimes pourraient recevoir des e-mails d’extorsion dans les jours ou les semaines à venir”.
