On y voit un peu plus clair sur les deux exploits liés mais distincts qui ont été utilisés ces derniers mois pour corrompre le logiciel de transfert de fichiers sécurisés FTA (File Transfer Appliance) d'Accellion. Dans un rapport, la société de conseil en cybersécurité Mandiant indique que la première faille a été découverte et résolue par Accellion en décembre 2020, tandis que la seconde l'a été en janvier 2021. Parmi les victimes signalées figuraient l'Australian Securities and Investment Commission, NSW Health, l'institut de recherche en santé QIMR Berghofer basé à Brisbane et le principal opérateur de télécommunications de Singapour, Singtel. Le gouverneur de la Banque de réserve (aka banque centrale) de Nouvelle-Zélande, Adrian Orr, a été particulièrement critique de la réponse apportée par Accellion, affirmant être resté dans le flou pendant 5 jours après la découverte de cet exploit. Le rapport de Mandiant, y compris la première chronologie détaillée des attaques et les réponses d'Accellion, apporte un poids supplémentaire aux accusations d'Adrian Orr.
D'après le rapport, Accellion a été alerté du premier piratage par un client le 16 décembre 2020, avant d'enquêter sur l'incident pendant trois jours avant de publier un patch le 20 décembre. L'éditeur a ensuite été au courant de la seconde faille, le 22 janvier 2021, alors même que la vulnérabilité était déjà exploitée pour la première fois dès le 20 janvier avant publication d'un correctif le 25 janvier. Suite à cet incident, Accellion a émis une alerte de sécurité critique conseillant à tous les clients FTA de stopper immédiatement son utilisation. Si aucune description détaillée de la chronologie des événements n'a été publiée, on apprend que les attaquants sont parvenus à tirer partie des exploits via un web shell malveillant. Ce n'est pas la première fois qu'Accellion rencontre une faille de ce type pour FTA : en 2016, Facebook avait pu découvrir via son programme bug bounty un tel scénario de cyberpiratage sans pour autant, officiellement, en avoir été victime.
Des sous-investissements en cybersécurité dans le viseur ?
« Le détecteur d'anomalies intégré dans FTA a généré une alerte e-mail au client, en particulier au compte de messagerie administrateur désigné par le client, lui conseillant de contacter Accellion pour obtenir de l'aide », indique le rapport. « En conséquence, tout client FTA affecté par l'exploit de décembre a probablement reçu un tel e-mail, ce qui, selon Accellion, est la manière dont l'exploit de décembre a attiré son attention ». Dans le cadre de son enquête, Mandiant a également confirmé que tous les correctifs publiés avaient réussi à combler les vulnérabilités du logiciel FTA. La Banque de réserve de Nouvelle-Zélande a déclaré que certains fichiers piratés contenaient des listes d'informations telles que des adresses électroniques personnelles, des dates de naissance ou des informations de crédit. « Nous travaillons directement avec les parties prenantes pour déterminer le nombre de personnes touchées et nous veillerons à ce qu'elles soient bien accompagnées », a déclaré l'institution bancaire mi-février.
L'établissement financier néo-zélandais pourrait cependant devoir rendre des comptes ces prochains mois, un rapport interne paru l'an dernier faisant état de sous-investissements en matière de cybersécurité liées aux principales plateformes informatiques bancaires. Elle s'est toutefois défendue en indiquant que si certains projets visant à combler ce déficit avaient été retardés par la pandémie Covid-19, cela n'avait pas joué de rôle dans l'exploit des vulnérabilités FTA d'Accellion. Dans un communiqué, la Banque de réserve a déclaré fournir « plus d'informations sur cet incident au fur et à mesure que cela sera approprié, en veillant à ne pas saper l'examen de KPMG et les investigations cybercriminelles et juridiques actuellement en cours ».
Pas d'impact opérationnel chez Qualys
Ayant déployé FTA d'Accellion pour ses propres besoins, de transfert de fichiers pour son système de support client, l'éditeur de sécurité Qualys a quant à lui tenu à rassurer. « Il n'y a aucun impact sur les environnements de production Qualys, la base de code ou les données clients hébergées sur Qualys Cloud Platform. Toutes les plateformes Qualys continuent d'être pleinement fonctionnelles et à aucun moment il n'y a eu d'impact opérationnel », a indiqué le fournisseur. « Qualys avait déployé le serveur Accellion FTA dans un environnement DMZ séparé [...] Il n'y avait pas de connectivité entre lui et notre environnement de données client de production Qualys Cloud Platform. Ce produit est un système tiers entièrement géré par Accellion ».