Olivier Le Moal - stock.adobe.co
Vulnérabilité Accellion FTA : les notifications en question
Les entreprises attaquées via cette vulnérabilité continuent d’émerger. Un client indique qu’il aurait pu agir plus tôt… mais un message d’alerte critique ne lui serait jamais parvenu.
Six mois après que les attaquants ont commencé à exploiter une vulnérabilité inédite dans un produit Accellion en fin de vie, avec à la clé un nombre notable de compromissions, des questions concernant la réaction de l’éditeur et les notifications à ses clients ont été soulevées.
Les opérateurs de Cl0p ont engrangé les victimes en s’attaquant à leurs appliances de transfert de fichiers (FTA) Accellion : le spécialiste français des géosciences CGG, Steris, CSX, Bombardier, ou encore Qualys y sont passés.
Dans un billet de blog, les équipes de Mandiant, une division de FireEye, expliquaient en début d’année que « depuis la mi-décembre 2020, les acteurs malicieux suivis par Mandiant sous la désignation UNC2546 ont exploité de multiples vulnérabilités inédites dans l’appliance de transfert de fichiers (FTA) historique d’Accellion, pour installer un web shell nouvellement découvert, baptisé Dewmode ». Et plusieurs organisations touchées ont reçu des e-mails d’extorsion menaçant de publier les données dérobées à l’aide de web shell sur le blog des opérateurs du ransomware Cl0p.
Mi-janvier, Accellion indiquait avoir fourni un correctif « sous 72 heures », après avoir été averti mi-décembre de l’exploitation des vulnérabilités, « aux moins de 50 clients affectés ». Mais tous avaient-ils effectivement été identifiés et notifiés ? Et combien ont appliqué les correctifs à temps ?
La plus récente divulgation de violation est survenue par le ministère de la Santé de la Nouvelle-Galles du Sud, en Australie. Ce dernier a déclaré qu’il « informait les personnes dont les données ont pu être consultées dans le cadre de la cyberattaque mondiale Accellion ». Deux mois auparavant, l’université de Californie avait déclaré avoir identifié que certaines données, en rapport avec l’attaque Accellion, avaient été publiées sur Internet. Selon la déclaration, l’université a mis hors service le FTA d’Accellion et travaillait alors à « migrer vers une solution plus sûre ».
Défauts de notification ?
Alors que l’étendue de l’attaque continue de s’étendre et met en évidence le nombre d’entreprises qui utilisaient encore l’ancien produit au terme de son échéance fin avril, une victime a dénoncé publiquement le processus d’alerte d’Accellion.
La banque centrale néo-zélandaise, la Reserve Bank of New Zealand (RBNZ), a exprimé des préoccupations quant à la rapidité des alertes qu’elle a reçues d’Accellion. Dans une déclaration faite le mois dernier en réponse à la violation de données, la RBNZ a déclaré qu’elle comptait trop sur Accellion pour l’alerter de vulnérabilités dans le système.
Mais elle a assuré n’avoir jamais reçu l’alerte initiale : « dans ce cas précis, les notifications qui nous ont été adressées n’ont pas quitté le système [d’Accellion] et ne sont donc pas parvenues à la banque centrale avant l’intrusion. Nous n’avons reçu aucun avertissement préalable », a déclaré Adrian Orr, gouverneur de la RBNZ, dans le communiqué.
Cette découverte a été faite par KPMG, qui a réalisé et publié une évaluation publique de la réponse à l’incident et a constaté que l’outil de messagerie utilisé par Accellion ne fonctionnait pas : « des mises à jour logicielles pour résoudre le problème ont été publiées par le fournisseur en décembre 2020, peu après la découverte de la vulnérabilité. L’outil de messagerie utilisé par le fournisseur n’a toutefois pas réussi à envoyer les notifications par courriel et, par conséquent, la banque n’a pas été informée avant le 6 janvier 2021 ».
Plus loin, le rapport indique que « nous n’avons pas trouvé de preuve que le fournisseur ait informé la banque que la vulnérabilité du système était activement exploitée chez d’autres clients. Cette information, si elle avait été fournie en temps voulu, aurait très probablement influencé de manière significative les décisions clés prises par la banque à ce moment-là ».
Nos collègues de SearchSecurity (groupe TechTarget) ont contacté Accellion au sujet de son processus et de ses systèmes de notification, mais l’éditeur de logiciels a refusé de commenter.
Reste que, selon le document d’Accellion intitulé « FTA attack scope, timeline and response », les clients ont été informés de la nécessité de déployer un correctif sur leurs systèmes le 20 décembre 2020, date à laquelle le premier correctif a été publié : « une alerte par courriel a été envoyée aux clients de FTA, décrivant la mise à jour du logiciel comme étant critique et urgente, et encourageant fortement les clients à l’installer dès que possible ».
Ce n’est toutefois pas la première fois que la RBNZ reproche à Accellion un manque de communication. Déjà en février, la banque assurait n’avoir jamais été informée qu’une mise à jour de sécurité était disponible. Et d’assurer qu’elle aurait agi plus tôt si elle avait reçu une alerte : « Accellion a publié un correctif pour remédier à la vulnérabilité le 20 décembre 2020, mais a omis d’informer la banque qu’un correctif était disponible. Il s’est écoulé cinq jours entre le correctif du 20 décembre et le 25 décembre, date à laquelle l’intrusion s’est produite, laps de temps durant lequel la banque aurait appliqué le correctif si elle avait été informée de sa disponibilité ».
Les clients d’Accellion s’expriment
Il n’est pas clair si d’autres clients de FTA ont rencontré des problèmes avec les notifications. SearchSecurity a contacté d’autres victimes au sujet du processus de notification et d’alerte d’Accellion. Certaines d’entre elles affirment avoir été informées en temps voulu en décembre, tandis que d’autres disent ne pas avoir reçu de notifications ou d’alertes du fournisseur avant janvier.
Une organisation, qui a demandé à rester anonyme, a déclaré à SearchSecurity que « l’incident original d’Accellion n’a pas créé d’alerte ; cependant, lorsque Accellion a produit le premier correctif, une alerte a été déclenchée ».
Selon un porte-parole de l’Université du Colorado, Accellion a informé l’université fin janvier de l’attaque de la vulnérabilité du logiciel. La première divulgation publique d’Accellion a été publiée le 12 janvier ; on ne sait pas pourquoi l’université n’a pas été directement informée de la vulnérabilité plus tôt. « Nous avons immédiatement désactivé le service sur nos campus et appliqué les correctifs fournis avant de relancer nos services », a déclaré le porte-parole dans un courriel adressé à SearchSecurity.
Un porte-parole du bureau de l’auditeur de l’État de Washington aux États unis (le SAO) a déclaré à SearchSecurity que l’agence est en litige actif et ne peut pas commenter les détails de son expérience. Mais il a fait référence à la chronologie publiée sur son site web et selon laquelle, à la mi-janvier 2021, le SAO a été alerté d’un incident de sécurité potentiel, impliquant le service de transfert de fichiers Accellion. « Le SAO a immédiatement contacté Accellion pour obtenir des détails spécifiques », indique la déclaration.
Là encore, la manière dont le SAO a été initialement alerté n’est pas clairement spécifiée. L’action en justice du SAO n’accuse pas Accellion de ne pas l’avoir correctement informé de la vulnérabilité et du correctif.
Plusieurs autres victimes n’ont pas répondu aux demandes de commentaires de SearchSecurity.