Skip to main content

Lorsqu’une solution MFT se brise, c’est panique à l’hôpital ou Comment une vulnérabilité dans un MFT à impacté un centre hospitalier ?

Lorsqu’une solution MFT se brise, c’est panique à l’hôpital ou Comment une vulnérabilité dans un MFT à impacté un centre hospitalier ?

SSL Poodle Attack, Log4j et récemment GoAnywhere MFT command injection. Malgré les efforts considérables déployés par l’ensemble des éditeurs de solutions MFT, des brèches de sécurité demeurent. La réputation et la fiabilité d’une solution de transfert de fichier doivent être maintenues à 100% sous peine d’un blackout aux effets dominos, tout particulièrement dans un environnement cloud.

Nous le savons depuis longtemps, les hackeurs s’adaptent aux marchés. Dès lors qu’un produit technologique prend une place considérable dans les entreprises, il devient de fait une cible privilégiée. Dans le cas des MFT, pièces maitresses de la productivité, une faille de sécurité aura des impacts dans toutes les chaines de production.

C’est un fait commun, dont nous avons l’habitude d’en lire, des actualités de failles logiciels relatées chaque semaine, voir chaque jour. Nous sommes rompus aux correctifs et autres patchs. Tous les éditeurs ont leurs lots de pansements plus ou moins efficaces avec plus ou moins de vélocité dans leurs disponibilités. Qu’ils soient fournisseurs de système d’exploitation, d’applications métiers ou d’outils de sécurité.

Une approche intégrée dans les systèmes de sécurité doit être considérée comme une des solutions adaptées.

L’une d’entre elles, que nous trouvons efficace, est de ne pas exposer l’ensemble du réseau interne en ouvrant des ports de communication directement au réseau Internet.

La plupart des attaques réussissent lorsqu’il existe une vulnérabilité dans une application dont les ports sont déjà ouverts de manière inappropriée à l’adresse IP publique.

C’était le cas avec GoAnywhere où la plupart des attaques se produisaient sur la console d’administration, ou sur le client Web, dont les ports étaient ouverts directement sur Internet.

La société Fortra (ex-Helpsystems), propriétaire de GoAnywhere MFT,  a déclaré la vulnérabilité le 1er février 2023, mais avant que le correctif ne soit publié le 7 février, des dommages considérables avaient déjà été causés. Le patch de sécurité n’ayant pas été appliqué par de nombreux clients, la vulnérabilité des instances GoAnywhere a duré jusqu’à la fin du mois de mars. Il a fallu près d’un mois pour que l’éditeur GoAnywhere puisse stopper l’attaque laissant près de 130 entreprises subir des ransomware déclenché par le cloud, notamment le centre hospitalier CHS (Community Health Systems aux États-Unis).

Dans le cas où nous aurions besoin d’ouvrir les ports, l’une des solutions efficaces est d’utiliser un VPN ou de toujours passer par un « reverse proxy » installé dans la zone DMZ. La plupart des fournisseurs MFT fournissent leur passerelle DMZ qui est un « reverse proxy ». Quelques application MFT comme le EFT Server proposent la possibilité de se connecter à la console d’administration via une DMZ Gateway

Ces reverse proxy acceptent les connexions des partenaires pendant qu’ils attendent que l’application MFT s’y connecte en utilisant un port spécifique ; grâce à cette architecture cela permet de contourner les fameux trous des pares-feux dans la zone sécurisée où est située l’application MFT.

Ashok Sundaram & Eric Tonnelier
Source Data3V - Juin 2023

Globalscape EFT DMZ Gateway

Références et liens utiles

Note aux clients GoAnywhere MFT

Le dernier patch, disponible en téléchargement, corrige cette vulnérabilité. Toutefois, pour ceux qui n’ont pas pu mettre à jour la version en raison de problèmes de préproduction, nous recommandons d’appliquer l’atténuation technique suivante :

  1. Faire pivoter votre clé de chiffrement principale.
  2. Examiner les journaux d’audit et supprimer tous les comptes d’administrateurs et/ou d’utilisateurs web suspects.
  3. Dès que possible sur le serveur de licences :
    1. Editer le fichier [install_dir]/adminroot/WEB-INF/web.xml
    2. Commenter ou supprimer le servlet et la configuration de mappage de servlet pour le Response Servlet dans le fichier Web.xml
Patch GoAnywhere command injection

Nous sommes à votre disposition pour de plus amples informations concernant cette procédure.

ITPro.fr - PRESSE - SMART DSI - MARS 2022

SPECIAL REPORT DATA3V

MFT : DATA3V PROPOSE UNE OFFRE SOUVERAINE D'ÉCHANGES SÉCURISÉS DE DONNÉES

Intégrateur de solutions MFT, Data3V a fait le choix d’ajouter à son catalogue Primeur, un éditeur
européen, proposant la plateforme Data One® répondant aux standards du marché. Découvrez
la valeur ajoutée de l’offre de Data3V.

Base documentaire MFT

Nous avons le plaisir de vous présenter notre toute nouvelle base documentaire. 

Entièrement dédiée aux solutions MFT, classée, triée, et bien sûre relue avec attention, nous collectons pour vous tout ce que nous considérons comme probant concernant les outils de tranfert de fichier. Vous pourrez télécharger chaque document librement en ajoutant simplement votre adresse email; un lien de téléchargement vous sera ensuite envoyé. Nous prendrons soins de compléter cette base régulièrement et nous vous tiendrons informés de son évolution. Bonne consultation !

Consulter notre base documentaire

Salon BigData 2018

Premier salon et déjà une présence remarquée pour Data3V, spécialiste des solutions MFT.

Nos clients historiques nous ont fait l'honneur de venir nous rencontrés lors de cet évènement Parisien, déjà bien reconnu depuis plusieurs année au sein des professionnels. De nombreux contacts, dans des domaines très variés, nous ont encouragé pour notre stratégie verticale : Les solutions MFT. 

Nous remercions, une fois encore de vos visites et vous disons à l'année prochaine.

Visiter BigData 2018