Cyberattaque : pendant que Cl0p divulgue, Rubrik cherche à rassurer

[Mise à jour, le 21 mars 2023 @ 12h10] Rubrik vient de mettre à jour son billet de blog relatif à la cyberattaque lancée par Cl0p contre lui en exploitant la vulnérabilité CVE-2023-0669 de GoAnywhere MFT de Fortra.

Les dates de survenue de l’intrusion et de sa découverte ne sont pas précisées, ni même la quantité de données dérobées par les assaillants. Depuis leur revendication initiale, ceux-ci ont toutefois divulgué une vingtaine de gigaoctets de données compressées. Selon des sources concordantes, les fichiers contenus dans les archives affichent une date de création autour du 20 février 2023. Selon les données d’Onyphe, l’instance GoAnywhere MFT pointée par Cl0p comme source des données affichait encore, le 11 février dernier, une version affectée par le CVE-2023-0669. 

Dans son billet, Michael Mestrovich, RSSI de Rubrik, indique que l’éditeur « ne dévoile pas ses pratiques de cybersécurité interne », mais affirme utiliser « une combinaison d’outils leaders de l’industrie pour défendre, surveiller, et alerter sur l’état et la sécurité de ses réseaux », sans préciser si ceux-ci lui ont permis de découvrir l’intrusion avant que Cl0p ne la revendique. 

Le RSSI assure enfin que Rubrik est « une organisation concentrée sur la cybersécurité » pour laquelle « sécuriser les données de ses clients, partenaires, et employés est clé et une priorité métier critique ».

[Mise à jour, le 16 mars 2023 @ 09h05] Dans un échange d’e-mails, Cl0p confirme avoir exploité la vulnérabilité CVE-2023-0669 de GoAnywhere MFT de Fortra, pour attaquer Rubrik. Dans son billet de blog, Michael Mestrovich, RSSI de Rubrik, a reconnu que l’entreprise avait été attaquée par ce biais, mais n’avait pas établi le lien avec la revendication de Cl0p. Il n’avait pas non plus dévoilé la date à laquelle ce qu’il qualifiait de « accès non autorisé » était survenu. Cl0p se contente d’indiquer : « il y a un mois », sans être plus précis – « désolé, beaucoup d’entreprises ont été piratées ».

[Mise à jour, le 15 mars 2023 @ 08h50] Un examen plus attentif des données d’Onyphe sur le système GoAnywhere MFT de Rubrik qui était affecté par la vulnérabilité CVE-2023-0669, et a été visé par Cl0p pour conduire son attaque, suggère que son interface d’administration était accessible directement sur le port 443. De quoi suggérer que, pour conduire ses attaques contre les instances GoAnywhere MFT vulnérables, le groupe Cl0p a cherché les vecteurs d’attaque sur un large éventail de ports, plus en tout cas que cela n’avait été jusqu’ici suggéré.

[Mise à jour, le 14 mars 2023 @ 20h05] Rubrik a publié un billet de blog sur la situation, confirmant une cyberattaque liée à l’exploitation de la vulnérabilité CVE-2023-0669. Dans ce billet, Michael Mestrovich, RSSI de Rubrik, indique que l’entreprise a « détecté un accès non autorisé à une quantité limitée d’information dans l’un de nos environnements IT de test, distinct de l’environnement de production ». Il ne précise ni la date de détection, ni celle de l’intrusion, ni encore la quantité de données concernées. 

Toutefois, le RSSI indique que l’enquête a déjà permis de déterminer que « l’accès non autorisé n’a pas concerné de données que nous sécurisons pour nos clients, via nos produits ». Les données affectées « sont principalement des informations commerciales internes de Rubrik, qui comprennent certains noms de clients et d’entreprises partenaires, des informations sur les contacts professionnels et un nombre limité de bons de commande de distributeurs de Rubrik ». Aucune donnée personnelle sensible ne serait concernée.

Quelques minutes après la publication initiale de cet article, la revendication a été supprimée de la vitrine de Cl0p.

[Article original, le 14 mars 2023 @ 13h20] Après Exagrid au printemps 2021, c’est au tour d’un autre spécialiste du stockage d’être au centre d’une tentative de cyberextorsion : Rubrik. Le groupe Cl0p a revendiqué, ce mardi 14 mars au matin, une cyberattaque contre lui. Joint par la rédaction, Rubrik n’a pas encore répondu à la demande de commentaires de la rédaction, à l’heure où sont publiées ces lignes. Cet article sera mis à jour avec les éventuels éléments additionnels qui nous parviendront. 

Cl0p a fait un retour en fanfare début février, exploitant la vulnérabilité référencée CVE-2023-0669, pour attaquer plus de 130 organisations à travers le monde en une dizaine de jours. Le gang l’a assuré lui-même à nos confrères de Bleeping Computer.

Cette vulnérabilité critique affecte l’application de transfert de fichiers GoAnywhere MFT, via son interface d’administration. L’éditeur, Fortra, a commencé à en alerter ses clients le 1^er février. Notre confrère Brian Krebs a publié une copie de l’alerte le lendemain. 

Aucun correctif n’était alors disponible pour cette vulnérabilité et l’éditeur proposait des mesures pour en prévenir l’exploitation. Il faudra attendre un peu moins d’une semaine pour que Fortra diffuse une nouvelle version, numérotée 7.1.2 et embarquant un correctif. Juste avant cela, un démonstrateur d’exploitation de la vulnérabilité avait été rendu public. 

Rubrik est un utilisateur de GoAnywhere MFT. Le nom d’une instance suggère qu’elle soit utilisée pour transférer des fichiers liés à ses activités de développement logiciel. Les données de Shodan indiquent qu’elle était encore en version 6.8.6 le 11 février. Celles d’Onyphe suggèrent que l’application du correctif est survenue entre le 15 et le 19 février. Toutefois, ni l’un ni l’autre moteur de recherche spécialisé n’a trace d’exposition de l’interface d’administration de l’instance, sur ses ports standards, 8000 et 8001. À l’heure sont rédigées ces lignes, l’instance en question n’est toutefois pas accessible.

Fondé il y a moins 10 ans, Rubrik édite un logiciel de sauvegarde conçu dès le départ avec l’objectif de restaurer rapidement les sauvegardes. Cette caractéristique l’a favorisé face à ses concurrents historiques dans les projets de protection contre les ransomwares, lesquels relèvent plus de la reprise d’activité après sinistre que de la simple sauvegarde. Parmi ses faits d’armes, on lui doit d’avoir sauvé Manutan de la cyberattaque dont il a été victime en février 2021, alors que le concurrent Veeam, également utilisé par Manutan, ne s’est pas montré efficace. 

Le groupe Cl0p, aussi suivi sous la référence TA505, n’en est pas à sa première exploitation de vulnérabilité affectant un système de transfert de fichiers. Début 2021, le groupe a multiplié les victimes en s’attaquant à leurs appliances de transfert de fichiers (FTA) Accellion. Parmi les entreprises touchées, on comptait notamment le spécialiste français des géosciences CGG, Steris, CSX ou encore Bombardier et Qualys.

Cl0p a été frappé par une opération de police en Ukraine, en juin 2021, qui a conduit à six interpellations. Mais manifestement pas à l’arrêt complet des activités du groupe.