Skip to content
Faites fleurir votre intelligence Internet - Bénéficiez de 20% de réduction sur Censys Search Teams ou sur les plans annuels Solo avec le code Spring24 jusqu'au 31 mai.
Blogs

MOVEit : une analyse du secteur

Partager

13 juin 2023
Tags :
  • 30,86% des hôtes utilisant MOVEit travaillent dans le secteur des services financiers, 15,96% dans le secteur de la santé, 8,82% dans le secteur des technologies de l'information et 7,56% dans le secteur gouvernemental et militaire.
  • 29 % des entreprises que nous avons observées comptent plus de 10 000 employés, ce qui indique que ce service est utilisé dans diverses grandes organisations.
  • Les entreprises basées aux États-Unis représentent une majorité significative, soit 69%, des hôtes MOVEit.

 

Note: Comme Censys est un scanner Internet, nous ne pouvons pas déterminer si ces appareils sont vulnérables ; il s'agit des services MOVEit que nous avons trouvés exposés sur Internet.

Introduction

Récemment, les services de transfert de fichiers gérés (MFT) ont fait l'objet d'une attention considérable dans le domaine de la sécurité. Bien que le MFT ne soit pas un sujet de discussion habituel, il convient de noter que les deux dernières vulnérabilités importantes que nous avons couvertes visaient des systèmes et des logiciels explicitement conçus pour faciliter les opérations de MFT. En 2021, Businesswire a fait état d' une croissance prévue de l'industrie du MFT, qui atteindrait la somme stupéfiante de 2,4 milliards de dollars d'ici 2027, avec une estimation annuelle de 398 millions de dollars pour cette seule année. Ce secteur émergent révèle aujourd'hui ses implications en matière de sécurité.

MFT représente une avancée progressive du protocole FTP, permettant aux entreprises de transférer des fichiers entre des emplacements désignés en toute sécurité. Outre cette fonction simple, nombre de ces services offrent une sécurité et un cryptage avancés et se conforment à des normes réglementaires et de conformité telles que HIPAA et PCI DSS, ce qui en fait une cible de grande valeur pour les attaquants.

Rapid7 a récemment publié une analyse très détaillée et perspicace de la récente vulnérabilité MOVEit MFT, y compris une chaîne d'exploitation fonctionnelle qui peut être vue sur Attackerkb. Cette analyse a révélé que la vulnérabilité est plus complexe qu'on ne l'avait initialement prévu ; pour l'exploiter, il faut utiliser l'injection SQL et certaines techniques de contrebande de requêtes, décrites plus en détail dans ce lien.

Pendant que les ingénieurs en sécurité s'efforçaient de comprendre l'exploit en question, nous nous sommes concentrés sur l'identification des secteurs d'activité susceptibles d'être affectés par cette vulnérabilité.

Dans le cadre de notre analyse, nous avons examiné plus de 1 400 serveurs MOVEit ouvertement accessibles sur l'internet. En utilisant divers points de données fournis par l'hôte et les réseaux exploitant ces hôtes, nous avons pu les associer à des entreprises ou organisations spécifiques. Nous ne parlerons pas ici d'entreprises spécifiques, mais plutôt des secteurs d'activité dans lesquels ces entreprises évoluent.

Si le nombre de ces hébergeurs peut sembler modeste au regard de la vaste étendue de l'internet, l'aspect inquiétant réside dans la taille importante des entreprises concernées et des données hautement sensibles qu'elles manipulent.

Analyse

Industries avec hôtes MOVEit

D'après notre analyse, 30,86 % des hôtes examinés appartenaient à des organisations liées aux services financiers, 15,96 % étaient associés au secteur de la santé, 8,92 % étaient liés à des organisations de technologie de l'information et 7,5 % étaient attribués à des entités gouvernementales et militaires. En outre, 4,41 % des hôtes appartenaient au secteur de l'énergie et 4,06 % à l'industrie manufacturière. Le graphique ci-dessus montre les dix principaux secteurs dans lesquels le logiciel MOVEit a été trouvé en cours d'exécution.

Le nombre d'hôtes MOVEit dans l'industrie des services financiers est réparti par pays.

Dans le secteur financier, une grande majorité de ces organisations (72 %) étaient basées aux États-Unis, tandis qu'un pourcentage plus faible (5,9 %) était situé au Royaume-Uni. Ces entreprises peuvent être classées dans la catégorie des moyennes et grandes entreprises, un peu moins de 25 % d'entre elles comptant de 1 000 à 5 000 employés et environ 22 % déclarant plus de 10 000 employés.

Fortra, une entreprise confrontée à sa part de problèmes de sécurité, a fait la lumière sur certaines façons dont l'industrie financière exploite les services MFT. Le MFT est un outil précieux pour l'automatisation de diverses tâches, notamment le transfert sécurisé de données financières sensibles. Ces données comprennent des informations financières cruciales telles que les détails des cartes de crédit, les plans de retraite et les demandes d'impôts, qui sont échangées avec des fournisseurs de données externes tels que d'autres bureaux de crédit et le tristement célèbre Equifax.

Les hôtes MOVEit dans l'industrie des soins de santé, répartis par pays

L'utilisation de MOVEit dans le secteur de la santé est une préoccupation importante car les organismes de santé l'utilisent couramment pour transférer des informations sensibles sur la santé protégées électroniquement (ePHI) et des données de dossiers médicaux électroniques (EHR) entre les hôpitaux, les pharmacies et les compagnies d'assurance. Cela signifie que les données trouvées sur ces serveurs ne sont pas seulement des données propres à l'entreprise ; il s'agit d'informations personnelles identifiables (PII).

Cette utilisation représente une part importante de l'activité de MOVEit, soit 15,96 % des hôtes de MOVEit. Parmi ces établissements de santé, environ 79 % sont basés aux États-Unis, la France en accueillant environ 7,02 %. Contrairement au secteur financier, la plupart de ces entreprises de santé sont des entités à grande échelle, employant plus de 10 000 personnes, ce qui représente 29,91 % du total.

À l'inverse, le secteur des technologies de l'information représente une plus petite fraction des hôtes MOVEit, soit seulement 8,92 %. Au sein de ce secteur, les petites et moyennes entreprises de 11 à 50 employés représentent 29,3% des hôtes MOVEit, ce qui suggère que cette industrie n'est pas la principale base d'utilisateurs de ce service.

Les organisations gouvernementales et militaires utilisent également MOVEit, constituant environ 7,56% du total des utilisateurs de MOVEit. Ces organisations sont principalement situées aux États-Unis (83,33 %), suivies par le Royaume-Uni (6,48 %) et le Canada (3,7 %). Parmi ces organisations, plusieurs, dont le gouvernement de la Nouvelle-Écosse (Canada), le département de l'innovation et de la technologie de l'Illinois et le département de l'éducation du Minnesota, se sont publiquement déclarées victimes de violations de transfert de MOVEit. Cette situation est particulièrement alarmante, car la compromission de documents classifiés et de données civiles au sein d'instances MFT gouvernementales et militaires peut menacer la sécurité nationale et la vie des personnes concernées.

Conclusion

S'il y a un enseignement crucial à tirer de cette situation, c'est que la sécurité des données n'est pas la même chose que la sécurité des applications. Même si les systèmes utilisés sont conformes à toutes les réglementations les plus récentes, le logiciel doit toujours être écrit (et audité) de manière à garantir la sécurité de ces données. Bien qu'il soit compréhensible que tous les logiciels ne puissent pas être examinés au microscope, tous les logiciels que nous utilisons et qui nécessitent un accès direct à l'internet devraient être examinés par toutes les parties concernées avant d'être déployés.

De nombreuses organisations ont été victimes de vols de données suite à l'exploitation de ce jour zéro au cours des dernières semaines et, compte tenu du niveau actuel d'exposition, le nombre d'organisations affectées va probablement continuer à augmenter.

Avec la croissance des entreprises et l'extension de leurs réseaux, la gestion et l'identification de chaque service accessible sur l'internet public deviennent de plus en plus difficiles pour les services informatiques. En l'absence de politiques et de contrôles adéquats, les entreprises peuvent être surprises par ce type de vulnérabilités. Il est de la plus haute importance que les entreprises aient une connaissance approfondie des applications et des services fonctionnant au sein de leurs réseaux et qu'elles saisissent pleinement les conséquences potentielles d'une compromission de ces services.

Les failles de sécurité de ce type représentent un risque important pour la vie privée des citoyens ordinaires, et pas seulement pour les entreprises ; ces systèmes ont été conçus pour aider les grandes entreprises à se mettre en conformité, mais ils nous ont déçus lorsqu'il s'est agi de protéger leur propre sécurité.

Retour au centre de ressources
Solutions de gestion de la surface d'attaque
En savoir plus