L’une des plus grandes chaînes d’hôpitaux aux États-Unis a déclaré que les pirates avaient obtenu des informations de santé protégées pour 1 million de patients après avoir exploité une vulnérabilité dans un produit logiciel d’entreprise appelé GoAnywhere.
Community Health Systems de Franklin, Tennessee, a déclaré lundi dans un dossier auprès de la Securities and Exchange Commission que l’attaque visait GoAnywhere MFT, un produit de transfert de fichiers géré sous licence Fortra aux grandes organisations. Le dossier indique qu’une enquête en cours a jusqu’à présent révélé que le piratage a probablement touché 1 million de personnes. Les données compromises comprenaient des informations de santé protégées telles que définies par la loi sur la portabilité et la responsabilité de l’assurance maladie, ainsi que des informations personnelles sur les patients.
Il y a deux semaines, le journaliste Brian Krebs a déclaré sur Mastodon que la société de cybersécurité Fortra avait émis un avis privé aux clients avertissant que la société avait récemment appris un « exploit d’injection de code à distance zero-day » ciblant GoAnywhere. La vulnérabilité a depuis gagné la désignation CVE-2023-0669. Fortra a corrigé la vulnérabilité le 7 février avec la sortie de 7.1.2.
« Le vecteur d’attaque de cet exploit nécessite l’accès à la console d’administration de l’application, qui dans la plupart des cas n’est accessible qu’à partir d’un réseau d’entreprise privé, via VPN ou par des adresses IP autorisées (lors de l’exécution dans des environnements cloud, tels que Azure ou AWS) », a déclaré l’avis cité par Krebs. Il a poursuivi en disant que les piratages étaient possibles « si votre interface administrative avait été exposée publiquement et/ou si les contrôles d’accès appropriés ne peuvent pas être appliqués à cette interface ».
Bien que Fortra ait déclaré que les attaques n’étaient, dans la plupart des cas, possibles que sur le réseau privé d’un client, le dossier de Community Health Systems indiquait que Fortra était l’entité qui « avait connu un incident de sécurité » et avait appris la « violation de Fortra » directement de la société.
« En raison de la faille de sécurité subie par Fortra, les informations de santé protégées (« PHI ») (telles que définies par la loi sur la portabilité et la responsabilité en matière d’assurance maladie (« HIPAA »)) et les « informations personnelles » (« PI ») de certains patients des filiales de la société ont été exposées par l’agresseur de Fortra », indique le dossier.
Dans un e-mail demandant des éclaircissements sur le réseau de l’entreprise qui a été piraté, les responsables de Fortra ont écrit : « Le 30 janvier 2023, nous avons été informés d’une activité suspecte dans certaines instances de notre solution GoAnywhere MFTaaS. Nous avons immédiatement pris plusieurs mesures pour résoudre ce problème, notamment en mettant en place une interruption temporaire de ce service pour empêcher toute autre activité non autorisée, en informant tous les clients susceptibles d’avoir été touchés et en partageant des conseils d’atténuation, qui incluent des instructions à nos clients sur site sur l’application de notre patch récemment développé. La déclaration n’a pas précisé.
Fortra a refusé de commenter au-delà de ce qui a été publié dans le dossier SEC de lundi.
La semaine dernière, la société de sécurité Huntress a signalé qu’une violation subie par l’un de ses clients était le résultat d’un exploit d’une vulnérabilité GoAnywhere qui était très probablement CVE-2023-0669. La violation s’est produite le 2 février à peu près au même moment où Krebs avait posté l’avis privé à Mastodon.
Huntress a déclaré que le logiciel malveillant utilisé dans l’attaque était une version mise à jour d’une famille connue sous le nom de Truebot, qui est utilisée par un groupe de menaces connu sous le nom de Silence. Silence, à son tour, a des liens avec un groupe suivi sous le nom de TA505, et TA505 a des liens avec un groupe de rançongiciels, Clop.
« Sur la base des actions observées et des rapports précédents, nous pouvons conclure avec une confiance modérée que l’activité observée par Huntress était destinée à déployer un rançongiciel, avec une exploitation opportuniste potentiellement supplémentaire de GoAnywhere MFT ayant lieu dans le même but », a écrit le chercheur de Huntress, Joe Slowick.
D’autres preuves que Clop est responsable sont venues de Bleeping Computer. La semaine dernière, la publication a déclaré que les membres de Clop ont pris la responsabilité d’utiliser CVE-2023-0669 pour pirater 130 organisations, mais n’ont fourni aucune preuve à l’appui de cette affirmation.
Dans une analyse, les chercheurs de la société de sécurité Rapid7 ont décrit la vulnérabilité comme un « problème de désérialisation de pré-authentification » avec des notes « très élevées » pour l’exploitabilité et la valeur de l’attaquant. Pour exploiter la vulnérabilité, les attaquants ont besoin soit d’un accès au niveau du réseau au port d’administration de GoAnywhere MFT (par défaut, le port 8000), soit de la possibilité de cibler le navigateur d’un utilisateur interne.
Compte tenu de la facilité des attaques et de la publication efficace d’un code de preuve de concept qui exploite la vulnérabilité critique, les organisations qui utilisent GoAnywhere doivent prendre la menace au sérieux. L’application de correctifs est, bien sûr, le moyen le plus efficace de prévenir les attaques. Les mesures palliatives que les utilisateurs de GoAnywhere peuvent prendre s’ils ne peuvent pas corriger immédiatement consistent à s’assurer que l’accès au niveau du réseau au port administrateur est limité au moins d’utilisateurs possible et à supprimer l’accès des utilisateurs du navigateur au point de terminaison vulnérable dans leur fichier web.xml.