MOVEit
MOVEit est un logiciel de transfert de fichiers édité par Ipswitch, Inc (faisant partie de Progress Software)[1]. MOVEit chiffre les fichiers et utilise des protocoles de transfert de fichiers sécurisés pour transférer les données ainsi que pour fournir des services d'automatisation, des analyses et des options de basculement[1]. Le logiciel est utilisé dans le secteur de la santé par des entreprises telles que Rochester Hospital et Medibank[2],[3] ainsi que de nombreux services informatiques dans les entreprises de haute technologie, les organisations gouvernementales et les services financiers comme Zellis[4].
Le 31 mai 2023, Progress Software signale une vulnérabilité d'injection SQL dans MOVEit Transfer et MOVEit Cloud (CVE-2023-34362). La vulnérabilité est massivement exploitée par les cybercriminels fin mai 2023[5], mais est potentiellement exploitée depuis juillet 2021[6]. La vulnérabilité du 31 mai permet à un attaquant d'accéder à la base de données de MOVEit Transfer depuis son application web sans s'authentifier. L'attaquant peut alors exécuter des instructions SQL modifiant ou supprimant des entrées dans la base de données, et déduire des informations sur la structure et le contenu de la base de données[7],[8]. L'exfiltration de données lors des attaques généralisées de mai-juin par le groupe de cybercriminalité russophone Cl0p a peut-être été principalement axée sur les données stockées à l'aide de Microsoft Azure[9]. Dès sa découverte, Progress lance une enquête, alerte ses clients du problème et fournit des mesures d'atténuation (blocage de tout le trafic HTTP et HTTPS vers MOVEit), suivies du développement et de la publication d'un correctif de sécurité[10]. Le 15 juin, une autre vulnérabilité pouvant conduire à un accès non autorisé est rendue publique (CVE-2023-35708)[11]. Cette vulnérabilité n'avait pas été exploitée « dans la nature » au moment de la divulgation, et un correctif est publié le 16 juin[12].
Histoire
[modifier | modifier le code]MOVEit est publié en 2002 par Standard Networks[13]. En 2006, la société publie l'intégration entre MOVEit et un logiciel antivirus pour arrêter le transfert de fichiers infectés[14].
Ipswitch acquiert MOVEit en 2008 lorsque la société rachète Standard Networks[15]. MOVEit Cloud est annoncé en 2012 comme un logiciel de gestion de transfert de fichiers basé sur le cloud[16]. MOVEit Cloud est le premier logiciel de transfert de fichiers géré dans le cloud pour les entreprises. Il est évolutif et peut partager des fichiers de système à système, de groupe ou de personne à personne[17].
En 2013, les clients MOVEit pour plateformes iOS et Android sont lancés. La version publiée comprend un assistant de configuration, ainsi que le chiffrement des e-mails[1],[18].
Ipswitch Analytics est lancé en 2015 pour surveiller et rapporter les données via le logiciel MOVEit. Les données analytiques comprennent un moniteur d'activité et la création de rapports automatisés. Ipswitch Analytics peut accéder aux données des serveurs de transfert et d'automatisation de fichiers MOVEit[19],[20]. Cette même année, Ipswitch Failover sort. Le logiciel permet d'obtenir des « recovery point objectives » (RPO) de quelques secondes avec un objectif de temps de récupération (RTO) inférieur à une minute, ce qui augmente la disponibilité de MOVEit[21].
Exploit criminel
[modifier | modifier le code]En 2023, il s’avère que la vulnérabilité zero-day du 31 mai 2023 avait été exploitée par des attaquants[22]. Le 7 juin 2023, le cybergang Clop, qui serait basé en Russie, publie un article de blog disant qu'il avait eu accès aux transactions MOVEit dans le monde entier et que les organisations utilisant MOVEit avaient jusqu'au 14 juin pour contacter Clop et payer une rançon, sinon les informations volées seraient publiées. Les détails incluent généralement des données de paie avec des champs tels que les adresses personnelles, les numéros d'assurance nationale et les coordonnées bancaires, mais varient. Le groupe déclare qu'il dispose d'informations de huit organisations britanniques, dont la BBC, tirées d'une attaque contre le fournisseur de services de paie Zellis. Il a été supposé que le contact via un article de blog plutôt que par e-mail aux victimes pourrait être dû au nombre énorme de victimes, trop nombreuses pour être traitées individuellement[23].
Références
[modifier | modifier le code]- Alex Woodie, « Ipswitch Adds iOS and Android Clients to MFT Suite », IT Jungle, (consulté le )
- Chris Player, « Medibank employs Ipswitch MOVEit MFT », ARN, (consulté le )
- « Rochester General Hospital MOVEit Case Study », HealthData Management (consulté le )
- « Ipswitch launches new tools to protect critical and confidential date », TYN Channel, (consulté le )
- (en-US) Arghire, « MOVEit Customers Urged to Patch Third Critical Vulnerability », SecurityWeek, (consulté le )
- (en-US) Kovacs, « Evidence Suggests Ransomware Group Knew About MOVEit Zero-Day Since 2021 », SecurityWeek, (consulté le )
- « NVD - CVE-2023-34362 », nvd.nist.gov (consulté le )
- [1]
- (en-US) Goodin, « Mass exploitation of critical MOVEit flaw is ransacking orgs big and small », Ars Technica, (consulté le )
- « Progress Customer Community », community.progress.com (consulté le )
- « Progress Customer Community », community.progress.com (consulté le )
- (en) « MOVEit Transfer and MOVEit Cloud Vulnerability », Progress.com, (consulté le )
- « Standard Networks releases secure transfer client », WTN News, (consulté le )
- « MOVEit Central File Transfer Management Offers Real-Time », Business Wire, (consulté le )
- Tom Jowitt, « Ipswitch gets compliance with Standard Networks buy », Network World, (consulté le )
- Brandon Butler, « File transfer systems adapting to today's cloudy conditions », Network World, (consulté le )
- « Ipswitch FIlp Transfer Launches MOVEit Cloud & MOVEit Ad Hoc Transfer », Compliance Week, (consulté le )
- Chris Talbot, « Ipswitch Adds Mobile Support to MOVEit Cloud 8.0 », Talkin Cloud, (consulté le )
- Nathan Eddy, « Ipswitch Analytics Offers Auditable File Transfers », eWeek, (consulté le )
- Kathrin Jannot, « MOVEit organized file transfers from a single interface », Cyber Press, (consulté le )
- « Ipswitch Delivers Zero Downtime and No Data Loss with New Failover Solution for Managed File Transfer », APM Digest, (consulté le )
- (en-US) Page, « Hackers launch another wave of mass-hacks targeting company file transfer tools », TechCrunch, (consulté le )
- Tidy, « BBC, BA and Boots issued with ultimatum by cyber gang Clop », BBC News, (consulté le )