Accéder au contenu principal

Lorsqu’une solution MFT se brise, c’est panique à l’hôpital ou Comment une vulnérabilité dans un MFT à impacté un centre hospitalier ?

SSL Poodle Attack, Log4j et récemment GoAnywhere MFT command injection. Malgré les efforts considérables déployés par l’ensemble des éditeurs de solutions MFT, des brèches de sécurité demeurent. La réputation et la fiabilité d’une solution de transfert de fichier doivent être maintenues à 100% sous peine d’un blackout aux effets dominos, tout particulièrement dans un environnement cloud.

Nous le savons depuis longtemps, les hackeurs s’adaptent aux marchés. Dès lors qu’un produit technologique prend une place considérable dans les entreprises, il devient de fait une cible privilégiée. Dans le cas des MFT, pièces maitresses de la productivité, une faille de sécurité aura des impacts dans toutes les chaines de production.

C’est un fait commun, dont nous avons l’habitude d’en lire, des actualités de failles logiciels relatées chaque semaine, voir chaque jour. Nous sommes rompus aux correctifs et autres patchs. Tous les éditeurs ont leurs lots de pansements plus ou moins efficaces avec plus ou moins de vélocité dans leurs disponibilités. Qu’ils soient fournisseurs de système d’exploitation, d’applications métiers ou d’outils de sécurité.

Une approche intégrée dans les systèmes de sécurité doit être considérée comme une des solutions adaptées.

L’une d’entre elles, que nous trouvons efficace, est de ne pas exposer l’ensemble du réseau interne en ouvrant des ports de communication directement au réseau Internet.

La plupart des attaques réussissent lorsqu’il existe une vulnérabilité dans une application dont les ports sont déjà ouverts de manière inappropriée à l’adresse IP publique.

C’était le cas avec GoAnywhere où la plupart des attaques se produisaient sur la console d’administration, ou sur le client Web, dont les ports étaient ouverts directement sur Internet.

La société Fortra (ex-Helpsystems), propriétaire de GoAnywhere MFT,  a déclaré la vulnérabilité le 1er février 2023, mais avant que le correctif ne soit publié le 7 février, des dommages considérables avaient déjà été causés. Le patch de sécurité n’ayant pas été appliqué par de nombreux clients, la vulnérabilité des instances GoAnywhere a duré jusqu’à la fin du mois de mars. Il a fallu près d’un mois pour que l’éditeur GoAnywhere puisse stopper l’attaque laissant près de 130 entreprises subir des ransomware déclenché par le cloud, notamment le centre hospitalier CHS (Community Health Systems aux États-Unis).

Dans le cas où nous aurions besoin d’ouvrir les ports, l’une des solutions efficaces est d’utiliser un VPN ou de toujours passer par un « reverse proxy » installé dans la zone DMZ. La plupart des fournisseurs MFT fournissent leur passerelle DMZ qui est un « reverse proxy ». Quelques application MFT comme le EFT Server proposent la possibilité de se connecter à la console d’administration via une DMZ Gateway

Ces reverse proxy acceptent les connexions des partenaires pendant qu’ils attendent que l’application MFT s’y connecte en utilisant un port spécifique ; grâce à cette architecture cela permet de contourner les fameux trous des pares-feux dans la zone sécurisée où est située l’application MFT.

Ashok Sundaram & Eric Tonnelier
Source Data3V - Juin 2023

Vue(s) : 6610

Note aux clients GoAnywhere MFT

Le dernier patch, disponible en téléchargement, corrige cette vulnérabilité. Toutefois, pour ceux qui n’ont pas pu mettre à jour la version en raison de problèmes de préproduction, nous recommandons d’appliquer l’atténuation technique suivante :

  1. Faire pivoter votre clé de chiffrement principale.
  2. Examiner les journaux d’audit et supprimer tous les comptes d’administrateurs et/ou d’utilisateurs web suspects.
  3. Dès que possible sur le serveur de licences :
    1. Editer le fichier [install_dir]/adminroot/WEB-INF/web.xml
    2. Commenter ou supprimer le servlet et la configuration de mappage de servlet pour le Response Servlet dans le fichier Web.xml
Patch GoAnywhere command injection

Nous sommes à votre disposition pour de plus amples informations concernant cette procédure.