Une autre vulnérabilité découverte dans MOVEit Transfer, les administrateurs invités à désactiver l’accès Web

Progress Software, développeur de l’outil de transfert de fichiers MOVEit compromis, exhorte les responsables informatiques à désactiver temporairement l’accès Internet direct à l’application après la découverte d’une nouvelle vulnérabilité et l’apparition de nouvelles d’organisations piratées.

Jeudi, Progress a déclaré qu’une vulnérabilité critique – qui n’avait pas encore reçu de numéro CVE – nécessitait une atténuation immédiate.

Cela comprenait la désactivation de tout le trafic HTTP et HTTPS vers les installations MOVEit sur site pour empêcher tout accès non autorisé, et la modification des règles de pare-feu pour refuser le trafic Web vers MOVEit sur les ports 80 et 443 jusqu’à ce que les derniers correctifs puissent être installés.

Tant que l’accès Web ne sera pas activé, les utilisateurs ne pourront pas se connecter à l’interface utilisateur Web de MOVEit Transfer. Les tâches MOVEit Automation qui utilisent l’hôte MOVEit Transfer natif ne fonctionneront pas, pas plus que les API REST, Java et .NET, ou le complément MOVEit Transfer pour Microsoft Outlook.

Cependant, les protocoles SFTP et FTP/s continueront de fonctionner normalement.

Comme solution de contournement, les administrateurs pourront toujours accéder à MOVEit Transfer en utilisant un poste de travail distant pour accéder à la machine Windows, puis en accédant à https://localhost/.

La société a également déclaré que MOVEit Cloud avait été corrigé et entièrement restauré sur tous les clusters infonuagiques.

La nouvelle vulnérabilité n’est pas liée au trou (CVE-2023-34362) trouvé par le gang de rançongiciels Clop qui a été exploité contre un certain nombre d’entreprises, dont Shell, British Airways, la BBC et le gouvernement de la Nouvelle-Écosse, et au trio de vulnérabilités (CVE-2023-35036) reconnu par Progress la semaine dernière.

Tony Anscombe, évangéliste en chef de la sécurité chez ESET, a noté que la désactivation de l’accès Web empêche un pirate informatique qui a déjà violé le périmètre réseau d’une organisation via des informations d’identification compromises d’exploiter les vulnérabilités MOVEit, car il se trouverait à l’intérieur du pare-feu.

« Même si le logiciel a été désactivé », a-t-il déclaré dans un courriel à IT World Canada, « les entreprises devraient enquêter sur les indicateurs de compromission qui ont été publiés par la CISA (la Cybersecurity and Infrastructure Security Agency des États-Unis) pour déterminer s’ils sont déjà une victime potentielle. »

« Le vol de données MOVEit est un rappel qui donne à réfléchir sur la criticité des correctifs immédiats », a déclaré Lorri Janssen-Anessi, directrice des cyber-évaluations externes chez BlueVoyant. « Au moment où les vulnérabilités sont identifiées, les organisations doivent donner la priorité à une réponse rapide, sinon elles sont à la merci des adversaires. Si vous êtes impacté par MOVEit et que vous ne pouvez pas installer les dernières versions de correctifs, vous devez au moins désactiver tout le trafic HTTP et HTTPS vers les environnements MOVEit Transfer. Les entreprises concernées doivent également vérifier les indications potentielles d’accès non autorisé au cours des 30 derniers jours au moins.

Le gang de rançongiciels Clop s’est concentré sur l’exploitation des technologies de transfert de fichiers pendant des années, a noté le PDG de Tenable, Amit Yoran, et a eu un succès généralisé en exploitant une faille MOVEit connue pendant des semaines. « Bien que nous ne connaissions pas toute l’étendue de l’attaque contre les agences gouvernementales américaines », a-t-il déclaré, « il est clair que même maintenant, de nombreuses organisations doivent encore colmater des failles dans leurs applications logicielles pour éviter de devenir la prochaine victime. »

« Les cybercriminels et les États-nations se régalent de vulnérabilités connues et de pratiques de sécurité bâclées qui exposent inutilement les organisations à des risques. Une concentration constante sur l’identification des problèmes, leur hiérarchisation et leur résolution fait toute la différence. »

Dror Liwer, co-fondateur de Coro, a déclaré : « lors du déplacement d’informations sensibles, même en utilisant une plate-forme dite sécurisée, une approche de confiance zéro doit être utilisée. Toutes les données sensibles en mouvement ou au repos doivent être chiffrées. L’avantage l’emporte largement sur les inconvénients.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Un duo montréalais lance une plateforme gratuite de formation en cybersécurité.

Deux amis d'enfance, tous deux entrepreneurs basés à Montréal,...

Un groupe d’assurance dentaire avise près de 7 millions d’Américains d’un vol de données lié à MOVEit

Près de 7 millions de résidents américains ont été informés par un fournisseur d’assurance dentaire que leurs informations personnelles ont été volées lors de l'une des plus grandes attaques impliquant l'application de transfert de fichiers MOVEit.

Des pirates abusent d’OAuth pour automatiser des cyberattaques, selon Microsoft

Selon Microsoft, des acteurs malveillants utilisent à mauvais escient les applications basées sur OAuth comme outil d'automatisation d'authentification.

Les entreprises canadiennes de taille moyenne paient en moyenne 1,13 million de dollars aux gangs de rançongiciels

Le paiement moyen de rançongiciel effectué par les entreprises canadiennes de taille moyenne s'élevait cette année à un peu plus d'un million de dollars, selon une nouvelle enquête.

Adoption du projet de loi no 38 sur la cybersécurité et la transformation numérique de l’administration publique

Le projet de loi no 38, connu sous le nom de Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d'autres dispositions législatives, a été adopté plus tôt cette semaine par l'Assemblée nationale.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.