MR - stock.adobe.com
Vulnérabilité MOVEit : Cl0p pourrait avoir attendu 2 ans avant de l’exploiter
Le groupe Cl0p pourrait avoir disposé depuis deux ans de la vulnérabilité d’injection SQL affectant MOVEit Transfer, qu’il vient d’utiliser pour conduire une vaste campagne offensive.
Les chercheurs en menaces de Kroll viennent de publier une analyse montrant que Cl0p pourrait avoir expérimenté des moyens d’exploiter l’injection SQL dans le produit de transfert de fichiers géré MOVEit Transfer pendant un certain temps, avant l’événement d’exfiltration de masse de fin mai. Kroll pense que l’exploit était certainement disponible et testé en avril 2022, et probablement dès juillet 2021.
Les chercheurs ont également partagé des indicateurs selon lesquels ClOp avait terminé son travail de développement sur l’exploit MOVEit – désormais désigné comme CVE-2023-34362 – au moment où il exploitait la vulnérabilité CVE-2023-0669 de Fortra GoAnywhere.
« D’après l’analyse de Kroll, il semble que les acteurs malveillants de Cl0p avaient terminé l’exploit pour MOVEit Transfer au moment de l’événement GoAnywhere et qu’ils ont choisi d’exécuter les attaques de manière séquentielle plutôt qu’en parallèle. Ces résultats mettent en évidence l’importance de la planification et de la préparation qui précèdent probablement les événements d’exploitation de masse », a écrit l’équipe de recherche.
L’équipe – qui comprend Devon Ackerman, responsable mondial de la réponse aux incidents chez Kroll, Lauria Iacono et Scott Downie, directeurs généraux associés, et Dan Cox, associé – a analysé l’activité d’exploitation associée à CVE-2023-34362 s’étant déroulée pendant ou autour du week-end des 27 et 28 mai, un long week-end férié aux États-Unis et au Royaume-Uni.
Dans l’ensemble, cette activité comprenait une chaîne d’exploitation automatisée qui a conduit au déploiement d’un webshell. Elle était centrée sur deux composants légitimes du transfert MOVEit, mais lorsque l’équipe a examiné les journaux des services d’information Internet (IIS) de Microsoft des clients concernés, elle a trouvé des preuves d’une activité similaire se produisant dans de multiples environnements à partir de juillet 2021.
Les pics les plus importants de cette activité sont survenus le 27 avril 2022, puis les 15 et 16 mai 2023, probablement parce que Cl0p essayait de tester son accès aux organisations victimes et de retirer des informations des services MOVEit Transfer pour essayer de savoir qui ils avaient compromis.
Le 22 mai 2023, Cl0p semble commencer à retirer les identifiants des organisations des serveurs MOVEit Transfer. Selon Ackerman et ses collègues, le gang essayait probablement d’identifier les organisations qu’il avait compromises, de les classer et d’en faire l’inventaire. Ce pic s’est produit sur une période de 22 minutes et a été associé à une seule adresse IP pour plusieurs victimes.
Une analyse plus poussée a permis de découvrir d’autres liens entre les pics d’activité sur une période de deux ans, ce qui, selon l’équipe, montre que Cl0p a commencé par tester manuellement CVE-2023-34362 en juillet 2021 et a lentement mis au point une solution automatisée.
Nouvelles inquiétudes
À l’heure où nous écrivons ces lignes, la vulnérabilité MOVEit fait toujours l’objet d’une exploitation agressive, et Cl0p a fixé hier un délai de sept jours pour que les victimes le contactent, afin d’entamer des négociations sur la rançon. À ce jour, seul Cl0p est connu pour avoir exploité la vulnérabilité, mais cela ne signifie pas que d’autres ne le feront pas.
Il y aurait plus de 2 000 instances de MOVEit Transfer accessibles depuis l’internet public. Onyphe a identifié, le 4 juin, plus d’une centaine d’instances de MOVEit Transfert déjà compromises, dont certaines liées à de très grandes entreprises, jusqu’à un fournisseur de produits IT pour entreprise, et d’autres susceptibles de traiter des données médicales.
Plus inquiétant encore les analystes de Huntress qui ont mené leur propre analyse de l’exploit ont découvert que, contrairement à ce que l’on pensait de prime abord, il pourrait être trivialement facile d’utiliser CVE-2023-34362 pour déployer et exécuter un ransomware.
L’équipe de Huntress a recréé la cinétique d’attaque et a constaté que la phase initiale d’injection SQL ouvrait la porte à l’exécution de code arbitraire. En peu de temps, ils ont pu utiliser la CVE-2023-34362 pour obtenir un accès shell à l’aide de Meterpreter, élever leurs privilèges et faire détoner une charge utile de ransomware Cl0p.
« Cela signifie que tout adversaire non authentifié peut déclencher un exploit qui déploie instantanément un ransomware ou effectue toute autre action malveillante », a déclaré John Hammond, chercheur principal en sécurité chez Huntress. Parce que « le code malveillant s’exécuterait sous le compte de service MOVEit, l’utilisateur moveitsvc, qui fait partie du groupe des administrateurs locaux. L’attaquant pourrait désactiver les protections antivirus, ou réaliser toute autre exécution de code arbitraire ».
John Hammond estime que le comportement observé jusqu’à présent n’est pas strictement nécessaire pour compromettre MOVEit Transfer, mais qu’il s’agit plutôt d’une option que Cl0p a probablement choisi d’utiliser pour s’assurer une forme de persistance.
« La recommandation est toujours de mettre en place un correctif et d’activer la journalisation. D’après nos propres tests, le correctif contrecarre efficacement l’exploit que nous avons recréé », a-t-il déclaré.
Mais il apparaît toutefois évident que la simple application des correctifs, ou la seule reconstruction du serveur Web, sans toucher à la base de données, préserve les comptes mis en place par les attaquants et leur fournit un moyen de revenir.
