Progress Software pourrait faire l'objet de litiges à la suite de la découverte d'un jour zéro explosif dans le service de transfert de fichiers MoveIT de sa filiale Ipswitch, qui a touché des millions d'utilisateurs finaux dans le monde entier. La dernière enquête en date émane de la commission américaine du contrôle des marchés financiers (SEC), qui cherche à obtenir des informations sur ce piratage massif. La vulnérabilité par injection SQL, baptisée CVE-2023-34362, avec un CVSS de 9,8, a été signalée pour la première fois le 28 mai, lorsqu'un client a appelé Progress pour signaler des activités inhabituelles dans l'environnement MoveIT.
« Le 2 octobre 2023, Progress a reçu une citation à comparaître de la SEC pour obtenir divers documents et informations relatifs à la vulnérabilité dans MoveIT », a déclaré l'éditeur dans un récent document déposé auprès de la commission. « À ce stade, l'enquête de la SEC est une recherche d'établissement des faits, elle ne signifie pas que Progress ou quiconque a violé les lois fédérales sur les valeurs mobilières, et que la SEC a une opinion négative sur une personne, une entité ou un titre », précise le fournisseur. Il a déclaré son intention de coopérer pleinement avec la commission dans le cadre de son enquête.
Des craintes d'impacts opérationnels
Le groupe a déclaré que des enquêtes telles que celle lancée par la SEC peuvent avoir un effet négatif sur les activités de l'entreprise et l'exposer à de futures enquêtes gouvernementales et réglementaires. « Notre responsabilité financière découlant de ce qui précède (les exploits MoveIT) dépendra de nombreux facteurs, notamment de l'étendue de l'enquête menée par les entités gouvernementales et des limitations contenues dans les contrats conclus avec nos clients ; par conséquent, nous ne sommes pas en mesure, à l'heure actuelle, d'estimer l'impact quantitatif d'une telle responsabilité avec un degré raisonnable de certitude », a déclaré Progress Software. Ce dernier a également estimé les pertes opérationnelles liées aux clients en deuil, car la société s'attend à ce que certains d'entre eux se retirent momentanément des contrats prévus.
« Si des clients ou des partenaires demandent des remboursements, retardent la mise en œuvre de nos produits ou les paiements, ne nous paient pas selon les termes de nos accords, ou mettent fin à l'utilisation de nos produits, nous pourrions être affectés à la fois par l'incapacité à recouvrer les montants dus et par le coût de l'application des termes de nos contrats (y compris les litiges qui y sont liés) », a ajouté l'éditeur. 23 de ses clients concernés ont indiqué qu'ils avaient l'intention de demander une indemnisation à Progress Software et qu'ils retarderaient probablement les paiements conformément aux termes de leur contrat, a déclaré la société.
La liste des victimes s'accumule
Le piratage de MoveIT a eu un effet dévastateur sur la réputation de Progress Software, avec plus de 65 millions de clients dans le monde dont les données sensibles ont été compromises. Récemment, Sony a confirmé que l'accès aux données de 6 000 employés avait eu lieu lors d'un incident lié à MoveIT, tandis que Flagstar Bank a déclaré que plus de 800 000 enregistrements clients avaient été volés. Le 25 septembre, BORN Ontario, un registre des naissances géré par le gouvernement de la province canadienne, a confirmé que les données d'environ 3,4 millions de personnes avaient été exposées en raison de son utilisation du service de transfert de fichiers. Plusieurs attaques par ransomware ont été lancées avec les données volées, et environ un tiers de ces attaques ont été attribuées à l'opérateur derrière Clop exploitant une variante du ransomware du groupe APT FIN11. Le 6 juin, ce cybergang a publié une déclaration sur son portail du dark web, affirmant avoir exploité la vulnérabilité MoveIT pour exfiltrer les données de centaines d'organisations.
Ce groupe de cybercriminels aurait touché au moins trois agences gouvernementales américaines en exploitant les failles du système de transfert de fichiers MoveIT. Les autorités fédérales américaines ont offert une récompense de 10 M$ pour toute preuve de liens entre Clop et un gouvernement étranger. Le 31 mai, Progress Software a annoncé la mise en place d'un correctif zero day dans les versions sur site et dans les serveurs de test cloud de MoveIT. En outre, l'entreprise a reconnu et corrigé plusieurs vulnérabilités ultérieures d'injection SQL dans MoveIT identifiées en tant que CVE-2023-35036, CVE-2023-35708, CVE-2023-36934, CVE-2023-36932, et CVE-2023-36933, de mi-juin à début juillet, dont le CVSS moyen est de 9,4. Une autre faille critique (CVSS 10.0) affectant la version serveur d'Atlassian Confluence de grande gravité et aussi zero day a été découverte la semaine dernière. Le bogue, baptisé CVE-2023-22515, a été confirmé par l'équipe Threat Intelligence de Microsoft comme ayant été exploité par l'acteur étatique chinois Storm-0062.