À l’heure actuelle, la plupart d’entre nous, dans le domaine de la technologie, ont entendu ou lu des articles sur la vulnérabilité de type “zero-day” qui exploite la solution MOVEit managed file transfer (MFT), connue pour sa sécurité robuste et ses capacités de transfert de données fiables.
Publiée pour la première fois le 31 mai 2023 par “progress“, la société propriétaire du logiciel de transfert de fichiers MOVEit a déclaré qu’une vulnérabilité par injection SQL a été découverte dans l’application web de transfert MOVEit, qui pourrait permettre à un attaquant non authentifié d’accéder à la base de données des transferts MOVEit, ce qui pourrait conduire à l’exécution d’instructions SQL pouvant modifier ou supprimer des éléments de la base de données.
Dans cet article, nous nous penchons sur les détails de l’attaque de la vulnérabilité MOVEit, en explorant les conséquences potentielles pour les entreprises, les tactiques employées par les cybercriminels et les mesures essentielles pour atténuer ces risques de manière efficace.
Qu’est-ce qu’une injection SQL?
Une injection SQL est le type de vulnérabilité de sécurité qui cible le système de gestion de base de données sous-jacent et se produit lorsqu’une application exécutée sur un serveur ou un ordinateur sans serveur ne parvient pas à valider ou à vérifier correctement les entrées utilisateur avant de les utiliser dans une requête SQL.
Lorsqu’une application est vulnérable à l’injection SQL, un attaquant peut exploiter cette vulnérabilité en injectant du code SQL malveillant dans les champs de saisie fournis par l’utilisateur, tels que les formulaires de connexion ou les zones de recherche, l’application vulnérable qui exécute sans le savoir le code SQL injecté dans sa base de données.
Le piratage MOVEit expliqué
Une vulnérabilité du service MOVEit managed file transfer, utilisé par de nombreuses entreprises pour transférer en toute sécurité des fichiers sensibles, a été exploitée lors de l’attaque MOVEit, une cyberattaque.
Le 27 mai 2023, des rapports faisant état d’activités douteuses sur les réseaux de nombreuses entreprises utilisant MOVEit Transfer ont commencé à faire surface. Un examen a révélé que des acteurs hostiles utilisaient des requêtes SQL pour voler des données en exploitant une vulnérabilité non identifiée.
Progress a publié son premier rapport de sécurité le 31 mai 2023. Il énumère les remèdes mis à disposition jusqu’à cette date et suggère des actions correctives. L’entreprise a d’abord pensé que le problème n’affectait que les installations sur site, mais a découvert par la suite que la version cloud de MOVEit était également touchée.
MOVEit Cloud a été momentanément mis hors ligne pour l’application de correctifs et la recherche. Au total, les chercheurs de Rapid7 ont découvert que 2 500 serveurs sur site étaient concernés.
La vulnérabilité a reçu l’identification CVE-2023-34362 et un score CVSS de 9,8 (sur 10) le 2 juin 2023. La menace a été attribuée au groupe cl0p ransomware par les chercheurs d’incidents. Le 9 juin 2023, les chercheurs de Kroll ont révélé que le piratage MOVEit avait probablement été testé en 2021. Les investigations ont révélé que la chaîne de cyberattaque pouvait également contenir une exécution de code et ne devait pas toujours aboutir à une injection SQL.
À sa décharge, Progress a fait plus que réparer le programme. L’organisation a lancé un audit du code, ce qui a permis à la société Huntress de reproduire la chaîne d’attaque complète et de trouver une autre vulnérabilité. Cette vulnérabilité a été résolue le 9 juin 2023 et a reçu l’identification CVE-2023-35036. Avant que de nombreux administrateurs n’aient eu la possibilité d’appliquer ce correctif, Progress a lui-même identifié un nouveau problème, CVE-2023-35708, et et l’a communiqué dans le rapport du 15 juin 2023. Pendant dix heures, MOVEit Cloud a été mis hors ligne afin d’appliquer les correctifs.
La publication par les pirates d’une partie des informations personnelles des victimes et le début des négociations sur les rançons le 15 juin 2023 sont deux événements notables. Deux jours plus tard, le gouvernement américain a offert une récompense pouvant aller jusqu’à 10 millions de dollars pour toute information concernant le groupe.
Progress a annoncé le 26 juin 2023 qu’il fermerait MOVEit Cloud le 2 juillet pendant trois heures afin d’améliorer la sécurité des serveurs.
Les développeurs ont publié une nouvelle version le 6 juillet 2023, qui corrigeait trois vulnérabilités supplémentaires, dont une critique (CVE-2023-36934, CVE-2023-36932 et CVE-2023-36933).
Comment protéger votre entreprise contre le piratage de MOVEit?
Outre le fait de suivre les recommandations des fournisseurs concernant l’application des derniers correctifs, les organisations doivent au minimum disposer d’un processus d’évaluation des risques des fournisseurs tiers qui leur donnera confiance dans les pratiques et processus de sécurité des fournisseurs.
Un bon processus de gestion des vulnérabilités et des correctifs, tel que Patch Manager Plus de ManageEngine, permettra d’identifier et de corriger les vulnérabilités dès qu’elles sont publiées par les fournisseurs. Disposer d’un système approprié de renseignement sur les menaces qui fournira les derniers indicateurs de compromissions ou d’IOcs et de TTPS provenant de divers groupes de rétracteurs.
Une capacité de prévention des menaces de sécurité, par exemple, dans ce scénario, un pare-feu d’application Web, s’il est configuré correctement, serait en mesure de détecter les attaques d’application Web, une capacité de détection des menaces de sécurité pour corréler et détecter toute anomalie de sécurité au niveau de l’hôte et du réseau.
Disposer d’un plan de continuité des activités et de gestion de crise bien testé et répété pour faire face aux cyberattaques désastreuses qui peuvent entraîner des pertes financières et des atteintes à la réputation Les cyberattaques et les violations sont inévitables et il est donc grand temps que les organisations soient bien préparées à y faire face.
Comment ManageEngine aide-t-il à prévenir les ransomwares comme MOVEit ?
ManageEngine propose des solutions complètes pour prévenir les attaques de ransomware et protéger les entreprises des conséquences dévastatrices de ces cyber-menaces. Grâce à ses outils de cybersécurité avancés, ManageEngine permet aux entreprises de renforcer leurs défenses contre les ransomwares. Des fonctionnalités telles que la sécurité des points d’extrémité, la détection des intrusions et le filtrage des courriels sont des éléments essentiels de la protection contre les logiciels malveillants, y compris les ransomwares.
En outre, ManageEngine donne la priorité aux mises à jour logicielles et aux correctifs de sécurité réguliers afin de s’assurer que les vulnérabilités connues sont rapidement corrigées, ce qui minimise le risque d’exploitation par les cybercriminels. Mettant l’accent sur l’éducation des utilisateurs, ManageEngine propose des programmes de formation et de sensibilisation à la cybersécurité, permettant aux employés de reconnaître et d’éviter les tentatives d’hameçonnage et les activités suspectes susceptibles de déboucher sur des infections par ransomware.
En exploitant la puissance de la suite de solutions de sécurité de ManageEngine, les entreprises peuvent établir une défense proactive et résiliente contre les ransomwares et autres cybermenaces, protégeant ainsi leurs données, leur réputation et la continuité de leurs activités.
Vous voulez en savoir plus sur les dernières tendances en matière de gestion IT ? Vous cherchez des solutions pour améliorer la sécurité de votre infrastructure ? Alors rendez-vous sur notre site web.
Nous sommes également présents sur les réseaux sociaux, où nous partageons régulièrement plusieurs conseils et actualités. Suivez-nous sur Facebook, Twitter, LinkedIn, Instagram, et YouTube pour ne rien manquer de nos dernières publications.