Le 31 mai 2023, Progress Software a révélé l'existence d'une vulnérabilité
qui permettait à des acteurs non authentifiés d'accéder à sa base de donnéesMOVEit® Transfer et d'exécuter des instructions SQL afin de modifier ou de supprimer des informations. MOVEit Transfer est un logiciel de transfert de fichiers géré qui fait partie de la plateforme cloud Progress MOVEit utilisée pour regrouper toutes les activités de transfert de fichiers dans un seul système.
Depuis cette divulgation, le groupe cybercriminel Clop a exploité cette vulnérabilité et l'a utilisée pour cibler un grand nombre d'organisations dans divers secteurs et régions géographiques, notamment le fournisseur de logiciels RH Zellis, la BBC, le gouvernement de la Nouvelle-Écosse et bien d'autres. Bien que Progress Software ait corrigé cette vulnérabilité, Clop continue de révéler de nouvelles victimes.
Comme pour les attaques SolarWinds, Kaseya, LastPass et Accellion
,
il est essentiel que les professionnels de la gestion des risques tiers comprennent lesquels de leurs fournisseurs pourraient être exposés à la vulnérabilité MOVEit afin de réduire la probabilité et la gravité d'une attaque contre leurs propres infrastructures informatiques ou l'exposition de leurs données.
Dans cet article, nous vous recommandons huit questions à poser à vos fournisseurs tiers afin de déterminer leur utilisation de MOVEit et de comprendre leur réponse à tout incident de sécurité lié. Nous partageons également trois bonnes pratiques pour mieux automatiser la réponse aux incidents tiers de votre organisation.
| Questions | Réponses potentielles |
|---|---|
| 1) L'organisation utilise-t-elle le logiciel de transfert de fichiers géré MOVEit Transfer ou MOVEit Cloud ? | Veuillez choisir l'une des options suivantes :
a) Oui, l'organisation utilise la solution MOVEit Transfer ou Cloud. b) Non, l'organisation n'utilise pas la solution MOVEit Transfer ou Cloud. |
| 2) L'organisation a-t-elle été touchée par la vulnérabilité d'injection SQL MOVEit ?
Texte d'aide : Impact significatif : la vulnérabilité a entraîné une perte de confidentialité ou d'intégrité des données. Impact élevé : la disponibilité du système a été périodiquement compromise, entraînant une perte partielle de la confidentialité ou de l'intégrité des données. Faible impact : aucune perte de confidentialité ou d'intégrité des données ; perturbation minimale ou inexistante de la disponibilité du système. |
Veuillez choisir l'une des options suivantes :
a) Nos systèmes, applications ou informations critiques ont subi un impact significatif. b) Il y a un impact important surnos systèmes, applications ou informations critiques. c) L'impact surnos systèmes, applications ou informations critiques a été faible. d) La cyberattaque n'a eu aucun impactsur nos systèmes, applications ou informations critiques. |
| 3) Lorsque MOVEit Transfer est utilisé, l'organisation a-t-elle pris les mesures recommandées par le fournisseur de la solution (Progress Software) pour remédier à la vulnérabilité ?
Texte d'aide : les organisations doivent modifier les règles du pare-feu afin de bloquer le trafic HTTP et HTTPS vers MOVEit Transfer sur les ports 80 et 443 avant d'appliquer les derniers correctifs. Voici uneliste des indicateurs de compromission et des mesures recommandées. |
Veuillez sélectionner toutes les réponses qui s'appliquent.
a) Nous avons désactivé tout le trafic HTTP et HTTPs vers l'environnement MOVEit Transfer. b) Nous avons pris des mesures pour vérifier, supprimer et réinitialiser les identifiants des comptes de service. c) Nous avons appliqué les derniers correctifs, directement depuis le site Web de PROGRESS, et pertinents pour notre version de MOVEit Transfer. d) Nous avons effectué une surveillance continue du réseau, des terminaux et des journaux à la recherche d'indicateurs de compromission (IoC). |
| 4) Lorsque MOVEit Cloud est utilisé, l'organisation a-t-elle pris les mesures recommandées par le fournisseur de la solution (Progress Software) pour remédier à la vulnérabilité ? | Veuillez sélectionner toutes les réponses qui s'appliquent.
a) Nous avons examiné nos journaux d'audit à la recherche de signes de téléchargements de fichiers inattendus ou inhabituels. b) Nous avons procédé à l'examen des adresses IP répertoriées dans le fichier CVE. |
| 5) Le compromis affecte-t-il les services essentiels fournis à notre organisation ? | Veuillez choisir l'une des options suivantes :
a) Oui. b) Non. |
| 6) Qui est désigné comme personne de contact pour répondre aux questions supplémentaires ? | Veuillez indiquer le contact principal pour la gestion des incidents liés à l'information et à la cybersécurité.
Nom : Titre : Courriel : Téléphone : |
| 7) L'organisation a-t-elle appliqué les mesures correctives et les correctifs mentionnés ci-dessus et recommandés par Progress Software ?
Texte d'aide : Une nouvelle vulnérabilité a été détectée dans l'application Web MOVEit Transfer qui pourrait permettre à un pirate non authentifié d'obtenir un accès non autorisé à la base de données MOVEit Transfer. Le fournisseur de solutions (Progress Software) a recommandé à toutes les organisations concernées de mettre à jour leurs systèmes avec les derniers correctifs, publiés le 9 juin. |
Veuillez choisir l'une des options suivantes :
a) Oui, nous avons appliqué les correctifs publiés pour les vulnérabilités de mai 2023. b) Non, nous n'avons pas encore appliqué les correctifs publiés pour les vulnérabilités de mai 2023. |
| 8) Conformément aux directives de Progress Software, l'organisation a-t-elle appliqué les correctifs ?
Texte d'aide : l'application du correctif du 9 juin peut être effectuée selon différents chemins d'installation (DLL ou programme d'installation complet). Cet [article de la base de connaissances MOVEit Transfer](https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-CVE-Pending-Reserve-Status-June-9-2023) décrit les étapes à suivre et les versions nécessitant des mises à jour. |
Veuillez choisir l'une des options suivantes :
a) Nous avons appliqué les derniers correctifs, directement depuis le site Web de Progress Software, et adaptés à notre version de MOVEit Transfer. b) Nous n'avons pas encore appliqué les correctifs recommandés par Progress Software. |
3 bonnes pratiques pour atténuer les risques liés aux violations de MOVEit et d'autres tiers
Bien qu'il ne soit pas possible d'éliminer tous les risques liés aux relations avec les fournisseurs, votre programme de gestion des risques liés aux tiers peut offrir la visibilité et l'automatisation nécessaires pour détecter et atténuer de manière proactive les risques susceptibles de perturber votre activité. Commencez par ces trois étapes :
1. Identifier les fournisseurs susceptibles d'utiliser la technologie concernée
Pour savoir quels sont les fournisseurs qui utilisent une technologie impactée, il faut d'abord savoir qui sont vos fournisseurs, ce qui implique la mise en place d'un inventaire centralisé des fournisseurs. Vous ne pouvez pas y parvenir en utilisant des feuilles de calcul ou en déléguant la gestion des fournisseurs à des équipes opérationnelles. Elle doit être centralisée dans un système accessible à toutes les personnes impliquées dans vos initiatives de gestion des fournisseurs. Votre système d'enregistrement central doit permettre l'importation de données relatives au profil des fournisseurs à partir de feuilles de calcul existantes ou via une connexion API à votre solution d'approvisionnement actuelle.
Une fois que vous avez centralisé tous vos fournisseurs, utilisez des questionnaires fournisseurs associés à des capacités de scan passif pour vous aider à identifier les relations technologiques avec des quatrièmes parties. Dans ce cas particulier, cet exercice permettrait de révéler quels fournisseurs utilisent MOVEit. La collecte d'informations sur les technologies de quatrièmes parties déployées dans votre écosystème de fournisseurs aide à identifier les organisations qui utilisent la technologie concernée, ce qui vous permet de hiérarchiser les fournisseurs qui nécessitent une évaluation plus approfondie.
2. Procéder à des évaluations des risques spécifiques à l'événement
Une fois que vous avez identifié les fournisseurs ayant déployé la technologie concernée dans leur environnement, engagez-les dans des évaluations simples et ciblées qui s'alignent sur les normes de sécurité connues et les meilleures pratiques telles que NIST 800-161
et ISO 27036. Les résultats de ces évaluations vous aideront à cibler les mesures correctives nécessaires pour combler les lacunes de sécurité potentielles. Les bonnes solutions d'évaluation fourniront des recommandations intégrées pour accélérer les mesures correctives et combler rapidement ces lacunes.
Commencez votre évaluation spécifique à l'événement en vous basant sur les huit questions de la section ci-dessus, en pondérant les réponses en fonction de la tolérance au risque de votre organisation. Remarque : il s'agit de questions de base destinées à fournir des informations initiales. Votre organisation peut choisir de poser des questions différentes ou supplémentaires.
3. Contrôler en permanence les fournisseurs concernés
Il est important de rester vigilant en permanence, non seulement face aux risques liés à l'attaque MOVEit, mais aussi face à ceux liés à la prochaine attaque. Commencez par surveiller Internet et le dark web à l'aide d 'une cyber-surveillance continue afin de détecter les annonces de vente d'identifiants volés et d'autres signes avant-coureurs d'un incident de sécurité imminent.
Vos efforts de surveillance doivent couvrir les forums criminels, les pages onion, les forums à accès spécial du dark web, les flux de menaces, les sites de partage de données pour les identifiants divulgués, les communautés de sécurité, les référentiels de code, les bases de données sur les vulnérabilités et les piratages/violations, ainsi que les actualités négatives.
Vous pouvez surveiller plusieurs sources individuelles ou utiliser une solution qui unifie les informations provenant de plusieurs sources, centralise toutes les données relatives aux risques et les rend visibles pour les principales parties prenantes. Cette dernière approche vous permet de corréler les résultats de la surveillance continue avec les réponses de l'évaluation des risques afin de valider si les fournisseurs ont mis en place des contrôles ou non.
Prochaines étapes : Activer votre programme de réponse aux incidents par des tiers
Si un incident de cybersécurité se produisait dans l'écosystème de vos fournisseurs, seriez-vous en mesure de comprendre rapidement ses implications et d'activer un plan de réponse à l'incident ? Le temps est un facteur essentiel dans la réponse aux incidents, c'est pourquoi le fait d'être plus proactif avec un plan de réponse aux incidents défini réduira le temps nécessaire pour découvrir et atténuer les problèmes potentiels des fournisseurs. Un plan programmatique de réponse aux incidents impliquant des tiers doit comprendre les éléments suivants
- une base de données centralisée des fournisseurs et des technologies sur lesquelles ils s'appuient
- Évaluations préétablies de la résilience, de la continuité et de la sécurité de l'entreprise afin d'évaluer la probabilité et l'impact d'un incident.
- La notation et la pondération permettent de se concentrer sur les risques les plus importants.
- Recommandations intégrées pour remédier aux vulnérabilités potentielles
- Des rapports spécifiques aux parties prenantes pour répondre à l'inévitable demande du conseil d'administration
Pour en savoir plus sur la façon dont Prevalent peut aider votre organisation à accélérer la découverte et la réduction des risques liés aux tiers, demandez une démonstration dès aujourd'hui.
Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
