Progress Software, développeur de l’outil de transfert de fichiers MOVEit compromis, exhorte les responsables informatiques à désactiver temporairement l’accès Internet direct à l’application après la découverte d’une nouvelle vulnérabilité et l’apparition de nouvelles d’organisations piratées.
Jeudi, Progress a déclaré qu’une vulnérabilité critique – qui n’avait pas encore reçu de numéro CVE – nécessitait une atténuation immédiate.
Cela comprenait la désactivation de tout le trafic HTTP et HTTPS vers les installations MOVEit sur site pour empêcher tout accès non autorisé, et la modification des règles de pare-feu pour refuser le trafic Web vers MOVEit sur les ports 80 et 443 jusqu’à ce que les derniers correctifs puissent être installés.
Tant que l’accès Web ne sera pas activé, les utilisateurs ne pourront pas se connecter à l’interface utilisateur Web de MOVEit Transfer. Les tâches MOVEit Automation qui utilisent l’hôte MOVEit Transfer natif ne fonctionneront pas, pas plus que les API REST, Java et .NET, ou le complément MOVEit Transfer pour Microsoft Outlook.
Cependant, les protocoles SFTP et FTP/s continueront de fonctionner normalement.
Comme solution de contournement, les administrateurs pourront toujours accéder à MOVEit Transfer en utilisant un poste de travail distant pour accéder à la machine Windows, puis en accédant à https://localhost/.
La société a également déclaré que MOVEit Cloud avait été corrigé et entièrement restauré sur tous les clusters infonuagiques.
La nouvelle vulnérabilité n’est pas liée au trou (CVE-2023-34362) trouvé par le gang de rançongiciels Clop qui a été exploité contre un certain nombre d’entreprises, dont Shell, British Airways, la BBC et le gouvernement de la Nouvelle-Écosse, et au trio de vulnérabilités (CVE-2023-35036) reconnu par Progress la semaine dernière.
Tony Anscombe, évangéliste en chef de la sécurité chez ESET, a noté que la désactivation de l’accès Web empêche un pirate informatique qui a déjà violé le périmètre réseau d’une organisation via des informations d’identification compromises d’exploiter les vulnérabilités MOVEit, car il se trouverait à l’intérieur du pare-feu.
« Même si le logiciel a été désactivé », a-t-il déclaré dans un courriel à IT World Canada, « les entreprises devraient enquêter sur les indicateurs de compromission qui ont été publiés par la CISA (la Cybersecurity and Infrastructure Security Agency des États-Unis) pour déterminer s’ils sont déjà une victime potentielle. »
« Le vol de données MOVEit est un rappel qui donne à réfléchir sur la criticité des correctifs immédiats », a déclaré Lorri Janssen-Anessi, directrice des cyber-évaluations externes chez BlueVoyant. « Au moment où les vulnérabilités sont identifiées, les organisations doivent donner la priorité à une réponse rapide, sinon elles sont à la merci des adversaires. Si vous êtes impacté par MOVEit et que vous ne pouvez pas installer les dernières versions de correctifs, vous devez au moins désactiver tout le trafic HTTP et HTTPS vers les environnements MOVEit Transfer. Les entreprises concernées doivent également vérifier les indications potentielles d’accès non autorisé au cours des 30 derniers jours au moins.
Le gang de rançongiciels Clop s’est concentré sur l’exploitation des technologies de transfert de fichiers pendant des années, a noté le PDG de Tenable, Amit Yoran, et a eu un succès généralisé en exploitant une faille MOVEit connue pendant des semaines. « Bien que nous ne connaissions pas toute l’étendue de l’attaque contre les agences gouvernementales américaines », a-t-il déclaré, « il est clair que même maintenant, de nombreuses organisations doivent encore colmater des failles dans leurs applications logicielles pour éviter de devenir la prochaine victime. »
« Les cybercriminels et les États-nations se régalent de vulnérabilités connues et de pratiques de sécurité bâclées qui exposent inutilement les organisations à des risques. Une concentration constante sur l’identification des problèmes, leur hiérarchisation et leur résolution fait toute la différence. »
Dror Liwer, co-fondateur de Coro, a déclaré : « lors du déplacement d’informations sensibles, même en utilisant une plate-forme dite sécurisée, une approche de confiance zéro doit être utilisée. Toutes les données sensibles en mouvement ou au repos doivent être chiffrées. L’avantage l’emporte largement sur les inconvénients.
Adaptation et traduction française par Renaud Larue-Langlois.