Getty Images
Les organisations, grandes et petites, sont la proie de l’exploitation massive d’une vulnérabilité critique dans un programme de transfert de fichiers largement utilisé. L’exploitation a commencé pendant les vacances du Memorial Day – alors que la vulnérabilité critique était encore un jour zéro – et se poursuit maintenant, environ neuf jours plus tard.
Lundi soir, le service de paie Zellis, la province canadienne de la Nouvelle-Écosse, British Airways, la BBC et le détaillant britannique Boots étaient tous connus pour s’être fait voler des données lors des attaques, qui sont alimentées par une vulnérabilité récemment corrigée dans MOVEit, un fournisseur de transfert de fichiers qui offre à la fois des services cloud et sur site. La Nouvelle-Écosse et Zellis ont vu leurs propres instances ou services cloud violés. British Airways, la BBC et Boots étaient des clients de Zellis. Toutes les activités de piratage ont été attribuées au syndicat du crime russophone Clop.
Répandue et assez conséquente
Malgré le nombre relativement faible d’infractions confirmées, les chercheurs surveillant les attaques en cours décrivent l’exploitation comme étant généralisée. Ils comparent les hacks à des vols à main armée, dans lesquels une fenêtre est brisée et les voleurs saisissent tout ce qu’ils peuvent, et ont averti que les braquages rapides frappent les banques, les agences gouvernementales et d’autres cibles en nombre alarmant.
« Nous avons une poignée de clients qui utilisaient MOVEit Transfer ouvert à Internet, et ils ont tous été compromis », a écrit Steven Adair, président de la société de sécurité Volexity, dans un e-mail. « D’autres personnes à qui nous avons parlé ont vu la même chose. »
Adair a poursuivi :
Je ne veux pas catégoriser nos clients à ce stade car je ne sais pas ce qui existe en termes de qui exécute le logiciel et les donne. Cela dit, cependant, ce sont à la fois les grandes et les petites organisations qui ont été touchées. Les cas que nous avons examinés ont tous impliqué un certain niveau d’exfiltration de données. Les attaquants saisissaient généralement les fichiers des serveurs MOVEit moins de deux heures après l’exploitation et l’accès au shell. Nous pensons que cela était probablement répandu et qu’un nombre assez important de serveurs MOVEit Transfer qui exécutaient des services Web accessibles sur Internet ont été compromis.
Caitlin Condon, responsable principale de la recherche en sécurité qui dirige la branche de recherche de la société de sécurité Rapid7, a déclaré que son équipe réserve normalement le terme «menace généralisée» aux événements impliquant «de nombreux attaquants, de nombreuses cibles». Les attaques en cours n’ont ni l’un ni l’autre. Jusqu’à présent, il n’y a qu’un seul attaquant connu : Clop, un groupe russophone qui fait partie des acteurs de ransomware les plus prolifiques et les plus actifs. Et avec le moteur de recherche Shodan indexant seulement 2 510 instances MOVEit accessibles sur Internet lorsque les attaques ont commencé, il est juste de dire qu’il n’y a pas « beaucoup de cibles », relativement parlant.
Dans ce cas, cependant, Rapid7 fait une exception.
« Nous ne voyons pas d’acteurs menaçant les produits de base ou d’attaquants peu qualifiés lancer des exploits ici, mais l’exploitation de cibles de grande valeur disponibles à l’échelle mondiale dans un large éventail de tailles d’organisation, de secteurs verticaux et de géolocalisations fait pencher la balance pour nous sur la classification de cela comme une menace généralisée », a-t-elle expliqué dans un SMS.
Elle a noté que lundi n’était que le troisième jour ouvrable depuis que l’incident est devenu largement connu, et de nombreuses victimes peuvent seulement apprendre maintenant qu’elles ont été compromises. « Nous nous attendons à voir une liste plus longue de victimes sortir au fil du temps, en particulier à mesure que les exigences réglementaires en matière de signalement entrent en jeu », a-t-elle écrit.
Le chercheur indépendant Kevin Beaumont, quant à lui, a dit sur les réseaux sociaux dimanche soir : « J’ai suivi cela – il y a un nombre à deux chiffres d’organisations qui se sont fait voler des données, y compris plusieurs organisations gouvernementales et bancaires américaines. »
La vulnérabilité MOVEit provient d’une faille de sécurité qui permet l’injection SQL, l’une des classes d’exploit les plus anciennes et les plus courantes. Souvent abrégées en SQLi, ces vulnérabilités proviennent généralement d’un échec d’une application Web à nettoyer correctement les requêtes de recherche et autres saisies utilisateur de caractères qu’une application pourrait considérer comme une commande. En saisissant des chaînes spécialement conçues dans des champs de sites Web vulnérables, les attaquants peuvent inciter une application Web à renvoyer des données confidentielles, à accorder des privilèges administratifs au système ou à modifier le fonctionnement de l’application.