Après GoAnywhere, les cybercriminels de Clop s’attaquent au logiciel de transfert MOVEit

Utilisateurs du logiciel de transfert sécurisé MOVEit, appliquez la mise à jour d’urgence ! Le groupe de cybercriminels Clop est en effet en train d’exploiter une vulnérabilité dans ce programme découverte le 31 mai dernier. Ce qui donne à ce piratage un caractère massif, au vu du nombre d'utilisateurs du programme.

Le gang a en effet confirmé auprès du site Bleeping Computer son implication, indiquant être à l'œuvre depuis le samedi 27 mai. L’éditeur Microsoft avait également attribué, au vu des modes opératoires similaires, l’attaque informatique à ces cybercriminels, dénommés Lace Tempest dans sa nomenclature.

Injection SQL

Développé par la société Progress Software, cotée au Nasdaq, MOVEit est censé permettre à ses utilisateurs de partager “plus facilement et de manière intuitive les fichiers sensibles”. Selon l’éditeur, qui met en avant dans son argumentaire commercial la sécurité informatique, des “milliers d’organisations” utilisent ce logiciel.

Mais, comme l’entreprise vient de l’expliquer, l’application web du logiciel de transfert de fichiers s’est révélée être vulnérable à une attaque par injection SQL. Ce qui permet à un attaquant de s’authentifier comme l’un des utilisateurs du logiciel avant ensuite d’exfiltrer les données présentes sur le compte.

La BBC touchée

Progress Software préconise tout d’abord de couper les accès, de réinitialiser les comptes utilisateurs avant enfin d’appliquer le correctif. Il y a quelques jours, l’agence de cybersécurité américaine, la CISA, a également exhorté les organisations fédérales publiques du pays à appliquer la mise à jour.

Le moteur de recherche Censys avait compté début juin plus de 3800 serveurs utilisant le service, dont une petite quarantaine en France. Si on ignore quelles organisations françaises sont concernées, on sait déjà que la compagnie aérienne British Airways ou encore la BBC utilisent ce logiciel de transfert.

GoAnywhere MFT

Le service d’information britannique a ainsi averti ses employés du vol de données personnelles, telles que leurs adresses, leurs dates de naissance ou leurs numéros d’assurance. De même, au Canada, des informations d’habitants de la Nouvelle-Écosse, en nombre indéterminé, ont également été compromises.

Les cybercriminels de Clop avaient déjà fait parlé d’eux en début d’année avec un autre piratage de masse basé également sur un outil de transfert de fichiers, GoAnywhere MFT. Ils avaient alors affirmé avoir volé en une dizaine de jours des données à plus de 130 organisations au cours de cette attaque furtive exploitant une vulnérabilité non connue.