Ce qu’il faut savoir et ce qu’il faut faire quant aux vulnérabilités de MOVEit
Entre la fin du mois de mai et la mi-juin, le développeur de logiciels Progress a publié trois avis recommandant à tous les clients utilisant sa solution de transfert de fichiers gérés (MFT) MOVEit de procéder immédiatement à une mise à jour vers la dernière version. Il a ensuite été révélé que la vulnérabilité CVE-2023-34362 était exploitée par CL0P, un important gang russe de ransomware, pour compromettre des organisations des secteurs public et privé utilisant MOVEit.
Pourquoi devrais-je m’en préoccuper ?
Les solutions MFT sont utilisées dans le monde entier pour centraliser tous les aspects des transferts de fichiers entrants et sortants. Elles aident les équipes à automatiser et à simplifier les processus de transfert de données en interne, sur les réseaux privés et en externe avec des tiers et des sous-traitants. Naturellement, cela signifie que les solutions MFT sont utilisées pour transférer des fichiers volumineux et, dans de nombreux cas, des volumes importants de données sensibles. Cela signifie non seulement qu’un intrus malveillant peut facilement copier et transférer des fichiers sensibles et de valeur considérable pour en tirer profit, mais aussi que des acteurs malveillants peuvent avoir accès à un grand nombre d’informations exclusives et de données sur les clients.
Comment les attaquants exploitent-ils ces vulnérabilités ?
Les chercheurs indiquent que les attaquants enchaînent les “zero days” pour accéder aux fichiers MOVEit des organisations vulnérables, puis les exfiltrent pour exiger une rançon. Ils réalisent apparemment ces attaques de type “smash-and-grab” aussi rapidement que possible afin d’accéder à un maximum de données provenant du plus grand nombre possible d’organisations vulnérables.
Que pouvons-nous faire ?
Tout d’abord, si vous êtes un client de MOVEit, vous devez suivre leurs instructions sur la façon de corriger la vulnérabilité d’origine et les vulnérabilités plus récentes. Cela devrait également servir de rappel pour s’assurer que toutes vos solutions sur site et dans le cloud sont mises à jour avec les dernières versions, que vos applications ne sont pas exposées publiquement à internet, et pour surveiller en permanence tous les utilisateurs, appareils et réseaux afin de détecter tout comportement anormal ou toute interaction de fichiers.
Sécuriser l’accès des tiers
Les systèmes MFT tels que MOVEit sont fréquemment utilisés par les employés internes pour partager des fichiers avec des fournisseurs et des sous-traitants tiers, ce qui peut exposer l’organisation à des risques.
Analyse du comportement des utilisateurs et des entités (UEBA)
Dans de nombreux cas, les attaquants compromettent les informations d’identification par le biais du phishing, pénètrent dans l’infrastructure et augmentent leurs privilèges afin de pouvoir se déplacer latéralement et compromettre des données précieuses.