Les pirates exploitent une vulnérabilité récemment découverte dans un autre logiciel de transfert de fichiers d’entreprise, a averti l’agence de cybersécurité du gouvernement américain.
CISA a ajouté mercredi une vulnérabilité dans Citrix ShareFile, identifiée comme CVE-2023-24489, à son catalogue de vulnérabilités exploitées connues (KEV). L’agence a averti que la faille pose « des risques importants pour l’entreprise fédérale » et a exigé que les agences fédérales de l’exécutif civil – y compris la CISA – appliquent les correctifs des fournisseurs d’ici le 6 septembre.
Citrix a d’abord publié un avertissement concernant la vulnérabilité en juin. La faille, qui a reçu une cote de gravité de vulnérabilité de 9,8 sur 10, est décrite comme un bogue de contrôle d’accès inapproprié qui pourrait permettre à un attaquant non authentifié de compromettre à distance les contrôleurs de zones de stockage Citrix ShareFile gérés par le client, sans mot de passe.
Bien que Citrix ShareFile soit principalement un outil de transfert de fichiers basé sur le cloud, il fournit également un outil de « contrôleur de zones de stockage » qui permet aux organisations de stocker des fichiers sur site ou avec des plates-formes cloud prises en charge, telles qu’Amazon S3 et Windows Azure.
Selon Dylan Pindur d’Assetnote, qui a découvert la vulnérabilité pour la première fois et a averti qu’elle découlait de petites erreurs dans la mise en œuvre du cryptage AES par ShareFile, pas moins de 6 000 organisations avaient publiquement exposé des instances en juillet.
« Une recherche en ligne montre qu’environ 1 000 à 6 000 instances sont accessibles sur Internet », a déclaré Pindur. « Cette popularité, combinée au logiciel utilisé pour stocker des données sensibles, signifiait que si nous trouvions quoi que ce soit, cela pourrait avoir un impact considérable. »
La startup de renseignement sur les menaces GreyNoise a déclaré avoir observé un « pic significatif » dans l’activité des attaquants après que la CISA a publié son avertissement concernant la vulnérabilité ShareFile.
L’identité des pirates à l’origine des attaques sauvages observées n’est pas encore connue.
Les logiciels de transfert de fichiers d’entreprise sont devenus une cible populaire pour les pirates car ces systèmes stockent souvent d’énormes lots de données hautement sensibles.
Le gang de rançongiciels Clop, lié à la Russie, a revendiqué à lui seul la responsabilité d’avoir ciblé au moins trois outils d’entreprise, dont le MTA d’Accellion, le MFT GoAnywhere de Fortra et, plus récemment, MOVEit Transfer de Progress.
Selon les dernières données de la société de cybersécurité Emsisoft, les attaques de masse MOVEit en cours ont jusqu’à présent fait 668 victimes parmi les organisations, affectant plus de 46 millions de personnes. Cette semaine seulement, il a été révélé que plus de quatre millions d’Américains se sont fait voler leurs informations médicales et de santé sensibles après qu’IBM ait été victime des pirates MOVEit.