Le groupe de rançongiciels Clop n’est plus le seul acteur malveillant à avoir exploité avec succès la vulnérabilité GoAnywhere MFT pour cibler une organisation.
Comme l’ont découvert les chercheurs en cybersécurité d’At-Bay, un rançongiciel connu (s’ouvre dans un nouvel onglet) L’acteur menaçant BlackCat (AKA ALPHV) a également utilisé la faille pour cibler une entreprise américaine anonyme en février 2023.
« Cette dernière exploitation de la vulnérabilité GoAnywhere MFT contre une entreprise américaine par le groupe BlackCat très actif augmente les enjeux de la remédiation », écrit Ido Lev d’At-Bay. « Cette vulnérabilité est un bon exemple de la façon dont les cybercriminels ne se contentent pas de rechercher les divulgations CVE les plus répandues ou les plus connues du public. L’indicateur de risque le plus important n’est pas seulement le score attribué à la vulnérabilité, mais la facilité avec laquelle elle peut être exploitée par des cybercriminels en liberté, à grande échelle, pour obtenir le résultat souhaité. »
Attaquer des dizaines d’entreprises
GoAnywhere MFT est un service de transfert de fichiers sécurisé, conçu par Fortra et utilisé par certaines des plus grandes organisations mondiales.
En février de cette année, il a été découvert qu’un acteur russe connu sous le nom de Clop utilisait une vulnérabilité dans le produit, désormais identifiée comme CVE-2023-0669, pour infiltrer plus d’une centaine d’organisations et s’en tirer avec leurs données sensibles.
« Un exploit d’injection de code à distance zero-day a été identifié dans GoAnywhere MFT », a déclaré Fortra à l’époque. « Le vecteur d’attaque de cet exploit nécessite l’accès à la console d’administration de l’application, qui dans la plupart des cas n’est accessible qu’à partir d’un réseau d’entreprise privé, via VPN ou par des adresses IP autorisées (lors de l’exécution dans des environnements cloud, tels que Azure ou AWS). »
Parmi les entreprises compromises figurent Hitachi Bank, Hatch Energy, Saks Fifth Avenue, Procter & Gamble et bien d’autres.
Pour se protéger contre ces attaques, les chercheurs disent que les utilisateurs de GoAywhere MFT doivent s’assurer d’appliquer le dernier correctif et d’obtenir leur logiciel jusqu’à au moins la version 7.1.2.