Résumé

  • MOVEit a fait du calendrier des correctifs un problème de divulgation car l'exploitation a été observée avant les correctifs publics et avant que de nombreux opérateurs ne sachent qu'ils étaient concernés. Un correctif du 31 mai pouvait empêcher une exploitation ultérieure, mais ne pouvait pas prouver que le vol n'avait pas déjà eu lieu entre le 27 et le 30 mai.
  • L'objet fragile était le plan de contrôle de transfert de fichiers: une application exposée sur Internet utilisée pour authentifier les échanges, conserver des fichiers sensibles, automatiser les transferts récurrents et produire des preuves d'audit. Lorsque ce plan de contrôle était compromis, la question en aval devenait: quels fichiers étaient présents, quels clients en étaient propriétaires et quelles personnes devaient être informées.
  • Progress contrôlait les correctifs du produit, la réponse cloud, les avis et la communication de support. Les opérateurs sur site contrôlaient l'exposition, l'application des correctifs, la journalisation, la conservation des fichiers et l'enquête locale. Les propriétaires des données contrôlaient les cartographies des fournisseurs et les obligations de notification. Ces frontières de contrôle ont fait que la même vulnérabilité a produit des calendriers de divulgation très différents.
  • La leçon durable est que les programmes de correctifs d'urgence pour les infrastructures de transfert de fichiers ont besoin de plans de preuves préétablis: des journaux durables, une conservation courte des fichiers échangés, une cartographie de la propriété des clients, un routage des interruptions testé et un langage d'avis qui distingue « corrigez maintenant » de « vous avez peut-être déjà été compromis ».

Cartographie des preuves

#Source publiqueUtilisation dans cette analyse
1Avis MOVEit de Progress du 31 maiAvis principal pour CVE-2023-34362 et instructions de mitigation immédiates.
2FAQ sur les vulnérabilités MOVEit de ProgressSéquence de correctifs destinée aux clients, liste des vulnérabilités et distinctions cloud/sur site.
3Mise à jour de la réponse de Progress du 5 juinRéponse de l'entreprise, restauration du cloud, support forensique et conseils aux clients.
4Mise à jour de transparence de Progress du 13 juinExamen supplémentaire du code, vulnérabilités ultérieures et cadence des correctifs.
5Notes de version de MOVEit Transfer 2023Contexte des notes de version pour les correctifs de sécurité et les branches maintenues.
6Formulaire 10-Q 2023 de ProgressDescription déposée de l'incident, limitations de la télémétrie sur site et réponse cloud.
7Formulaire 10-K 2024 de ProgressContexte juridique, d'enquête et de risque commercial ultérieur.
8Avis de conclusion de l'enquête de la SECRegistre public ultérieur sur la clôture de l'enquête de la SEC.
9Entrée NVD CVE-2023-34362Description de la vulnérabilité et contexte de gravité.
10Entrée du catalogue des vulnérabilités exploitées de la CISADate limite de remédiation fédérale et statut de vulnérabilité exploitée.
11Avis CISA et FBI AA23-158AIndicateurs, contexte de l'acteur de la menace et mesures défensives.
12Page d'information du NCSC britannique sur MOVEitDirectives de l'autorité nationale de cybersécurité et cadrage pour le secteur public.
13Déclaration de la FCA britannique sur MOVEitNotification du secteur financier et préoccupation des entreprises réglementées.
14Analyse zero-day de MandiantPremière exploitation observée, comportement de LEMURLOOT et mécanique de vol de données.
15Chronologie MOVEit de Rapid7Chronologie de l'incident, exploitation observée et séquence ultérieure de vulnérabilités.
16Analyse de réponse rapide de HuntressCapacité de chaîne d'exploitation, artefacts et observations défensives.
17Analyse d'exposition de CensysVisibilité des hôtes exposés sur Internet et décomptes d'exposition.
18Analyse sectorielle de CensysLimites des preuves d'exposition et distribution sectorielle.
19Analyse de la violation MOVEit par EmsisoftAnalyse des victimes publiques et de l'échelle de divulgation, utilisée comme contexte secondaire.
20Rapport public de la Nouvelle-Écosse sur MOVEitChronologie de l'opérateur gouvernemental, correctifs, nouvelle interruption et confirmation du vol.
21Page sur l'incident de sécurité des données du Département de l'éducation de New YorkImpact sur le propriétaire des données et exemple de divulgation de copie de fichiers.
22Avis de violation par un tiers de CalPERSExemple d'exposition de données de retraite par l'intermédiaire d'un fournisseur.

Le plan de contrôle était l'élément défaillant

MOVEit Transfer était un outil d'échange contrôlé. C'est ce qui a rendu la campagne si lourde de conséquences. Le système vulnérable n'était pas une application web quelconque contenant des données de session de faible valeur. C'était un plan de contrôle de transfert de fichiers. Il authentifiait les utilisateurs, stockait ou mettait en attente des fichiers, automatisait les échanges, journalisait les activités et se trouvait à la frontière entre des organisations qui se faisaient suffisamment confiance pour échanger des données sensibles. Une défaillance à cette frontière modifie à la fois la sécurité et les preuves.

L'événement est souvent traité comme un problème de frontière de confiance du transfert de fichiers, et ce cadre est nécessaire. La perspective plus étroite du plan de contrôle interroge comment le calendrier des correctifs, la préservation des preuves et la séquence des avis ont transformé un produit exploité en des mois de travail de divulgation. La distinction essentielle est entre corriger le code vulnérable et reconstituer ce que le plan de contrôle avait déjà permis. Un correctif peut fermer un point d'entrée. Il ne peut pas dire à un système de retraite quels membres retraités se trouvaient dans un fichier volé.

Il ne peut pas dire à un système scolaire quelles évaluations ont été copiées. Il ne peut pas dire à un prestataire de services quels clients étaient propriétaires des enregistrements mis en attente dans un dossier si la conservation, la dénomination, les métadonnées de propriété et les journaux sont faibles.

C'est pourquoi les plateformes de transfert de fichiers gérées nécessitent un modèle de préparation différent de celui des logiciels de périmètre ordinaires. Leur objectif est de conserver des données sensibles en mouvement, parfois brièvement et parfois plus longtemps que prévu. Si des attaquants exploitent la plateforme, l'exposition des données peut être immédiate même lorsque le reste du réseau n'est pas compromis. Les rapports publics de nombreuses victimes ont décrit un vol à partir des environnements MOVEit plutôt qu'une prise de contrôle complète de l'entreprise.

Cette intrusion plus étroite a néanmoins produit une vaste crise de divulgation car les fichiers eux-mêmes représentaient de nombreuses personnes et de nombreux propriétaires de données en aval.

Progress contrôlait le produit et les environnements MOVEit Cloud. Les clients sur site contrôlaient leurs instances locales. Certaines organisations utilisaient des prestataires de services qui exploitaient MOVEit en leur nom. Ce mélange rendait la responsabilité ni simple ni vague. Le fournisseur pouvait publier des correctifs et des avis. Il pouvait corriger son service cloud. Il ne pouvait pas toujours connaître la version, l'exposition, les fichiers stockés ou les journaux des installations exploitées par les clients.

Les opérateurs pouvaient bloquer l'accès, appliquer des correctifs, préserver les preuves et inspecter les systèmes locaux. Ils ne pouvaient pas réécrire le code produit vulnérable avant l'existence d'un correctif. Les propriétaires de données ne pouvaient notifier les personnes qu'après avoir compris si leurs enregistrements figuraient dans les fichiers affectés.

Le calendrier des correctifs est donc devenu le calendrier des divulgations. Chaque heure avant qu'un correctif ne soit public pouvait être une fenêtre de vol. Chaque heure après la publication d'un correctif mais avant qu'un opérateur ne bloque l'accès pouvait être une nouvelle fenêtre de risque. Chaque heure passée à appliquer des correctifs sans préserver les preuves pouvait nuire à la capacité de déterminer l'étendue d'une violation. Chaque jour passé à cartographier les fichiers vers les clients retardait la notification des personnes affectées.

La même vulnérabilité zero-day a créé des problèmes de responsabilité différents selon la position de l'organisation dans la chaîne.

L'exploitation avant la divulgation a changé le sens de « corrigez maintenant »

La réponse publique a commencé le 31 mai 2023, lorsque Progress a divulgué la vulnérabilité critique de MOVEit Transfer et publié des mesures d'atténuation et des versions corrigées. Les enregistrements de réponse aux incidents montrent que l'exploitation avait déjà eu lieu. Mandiant a signalé les premières preuves observées le 27 mai. Rapid7 a confirmé les indicateurs et l'exfiltration remontant aux 27 et 28 mai. Le dépôt de Progress indique que son équipe de support a reçu un premier appel client le soir du 28 mai, heure de l'Est, a mobilisé une enquête et identifié une vulnérabilité zero-day le 30 mai.

Cette chronologie est importante car elle change le sens des correctifs d'urgence. « Corrigez maintenant » implique normalement qu'un système vulnérable peut encore être sauvé si l'opérateur agit rapidement. Dans une campagne zero-day antérieure à la divulgation, « corrigez maintenant » signifie deux choses à la fois: empêcher une exploitation ultérieure et supposer que la compromission a peut-être déjà eu lieu. La première tâche est la gestion du changement. La seconde est l'enquête. Les traiter comme une seule tâche crée un risque.

Un serveur corrigé peut encore contenir un shell web. Un serveur corrigé peut déjà avoir perdu des fichiers. Un serveur corrigé peut avoir des journaux sur le point d'être renouvelés. Un serveur corrigé peut être remis en service avant que les enquêteurs ne comprennent ce qui s'est passé. Le rapport public de la Nouvelle-Écosse est un cas précieux car il montre cette tension dans la pratique. La province a identifié l'avis, a mis le système hors ligne, a appliqué le correctif et l'a remis en service.

Après des directives nationales supplémentaires concernant des adresses IP suspectes, elle a de nouveau mis le système hors ligne et a trouvé une activité suspecte. Elle a ensuite confirmé que des fichiers avaient été volés avant le correctif.

Cette séquence ne signifie pas que la Nouvelle-Écosse a été négligente. Elle signifie que l'environnement des avis publics changeait pendant que les opérateurs agissaient. Les premiers intervenants devaient équilibrer la restauration du service et la préservation des preuves avec des informations incomplètes. La leçon publique est que les conseils d'urgence pour les plans de contrôle de transfert de fichiers devraient dire aux opérateurs de préserver avant de réparer lorsque cela est possible, et de traiter l'application des correctifs comme une seule branche de l'arbre d'incident.

Cette distinction est également importante pour les jugements ultérieurs. Une organisation exploitée le 27 mai n'aurait pas pu appliquer un correctif du 31 mai le 27 mai. Ses contrôles pertinents étaient l'exposition sur Internet, la segmentation, la surveillance, la journalisation et la minimisation des données. Une organisation encore exposée après le 31 mai était confrontée à une question différente: pourquoi la mitigation n'a-t-elle pas eu lieu après l'avertissement public? Les deux groupes pourraient finalement effectuer des notifications de violation. Leurs faits de responsabilité ne sont pas les mêmes.

Les réponses cloud et sur site avaient des horloges différentes

Progress exploitait MOVEit Cloud et vendait MOVEit Transfer pour une exploitation par les clients. La distinction a immédiatement compté. Pour MOVEit Cloud, Progress pouvait bloquer l'accès, appliquer des correctifs, enquêter, tester et restaurer. Pour les déploiements sur site, Progress pouvait divulguer, notifier, publier des correctifs et fournir un support, mais ne pouvait pas corriger directement chaque serveur ni collecter chaque journal local. Son dépôt a explicitement noté l'absence de télémétrie continue pour les versions exploitées par les clients, les activités, les données stockées et l'état des correctifs.

Cette limitation n'est pas une excuse; c'est une frontière de contrôle. Les fournisseurs de logiciels qui vendent des produits sur site exposés sur Internet ont souvent une visibilité en direct limitée. Les clients apprécient ce modèle pour son autonomie et le contrôle des données. Le compromis apparaît lors d'une zero-day. Le fournisseur peut ne pas savoir qui est exposé, quelles versions restent en ligne ou si un ancien client exploite encore une instance. Un client peut ne pas recevoir l'avis si les enregistrements de propriété sont obsolètes.

Un prestataire de services peut exploiter le serveur, tandis que le propriétaire des données reste légalement responsable de la notification.

Les clients cloud sont confrontés à un risque différent. Ils peuvent avoir moins de charge de correctifs car le fournisseur contrôle l'environnement. Ils dépendent également plus fortement des preuves et des décisions de restauration du fournisseur. Progress a déclaré que l'accès à MOVEit Cloud avait été suspendu, corrigé, testé et restauré. C'est la bonne action du fournisseur, mais les clients devaient encore examiner les journaux, inspecter les téléchargements inhabituels et déterminer si leurs fichiers avaient été consultés.

Le fournisseur pouvait fermer le plan de contrôle partagé; le client assumait toujours les conséquences spécifiques aux données.

Le modèle hybride a produit des horloges inégales. Certaines actions cloud pouvaient se produire de manière centralisée. Certaines actions sur site dépendaient des administrateurs locaux, des prestataires de services gérés et des fenêtres de changement. Certaines notifications des propriétaires de données dépendaient des fournisseurs qui devaient cartographier les fichiers vers les clients. La vague de divulgation publique s'est donc étendue sur des mois, non pas parce qu'un correctif a mis des mois à être installé partout, mais parce que les preuves du plan de contrôle étaient dispersées.

C'est une leçon de conception. Les fournisseurs d'infrastructures de transfert devraient maintenir l'exactitude des contacts clients, des canaux de télémétrie optionnels, des chemins de notification d'urgence pour les vulnérabilités et des preuves de version lisibles par machine. Les clients devraient maintenir des inventaires d'actifs exposés sur Internet, des enregistrements de propriété et des voies d'escalade. Les prestataires de services devraient maintenir une cartographie client-fichier et des horloges de notification contractuelles. Sans ces enregistrements, un avis devient une diffusion dans le brouillard.

La séquence de correctifs de juin a transformé la certitude en cible mouvante

Le correctif du 31 mai n'a pas mis fin au travail de sécurité. Progress et les chercheurs ont trouvé des vulnérabilités d'injection SQL supplémentaires dans les semaines suivantes. Progress a publié un correctif le 9 juin pour CVE-2023-35036, puis un correctif le 15 juin pour CVE-2023-35708. La chronologie de Rapid7 et la FAQ de Progress décrivent la séquence. Les versions ultérieures de juillet ont corrigé d'autres vulnérabilités. Les preuves publiques ont lié la campagne d'exploitation de masse à CVE-2023-34362, et non à chaque découverte ultérieure. Néanmoins, la séquence de correctifs a modifié la charge des opérateurs.

Pour un opérateur, « nous avons corrigé MOVEit » est devenu une affirmation horodatée. Corrigé le 1er juin ne signifiait pas corrigé le 10 juin. Corrigé le 10 juin ne signifiait pas complet après le 15 juin. Un questionnaire de conformité qui demandait seulement si une instance était corrigée pouvait produire une fausse tranquillité. Les preuves appropriées étaient la version, la date, l'heure, l'état d'accès web, la branche de correctif et si chaque nœud du déploiement avait été mis à jour.

C'est là que le cycle de vie logiciel et la dépendance vis-à-vis du fournisseur comptent. Un produit de transfert de fichiers est souvent intégré dans des tâches planifiées, des flux de travail partenaires, des systèmes d'authentification, des règles de pare-feu et des processus métier. Le mettre hors ligne interrompt le travail réel. Le corriger à plusieurs reprises peut nécessiter des tests et une coordination. Une organisation enfermée dans le flux de travail ne peut pas simplement abandonner le produit pendant une crise. Elle doit continuer à exploiter le plan de contrôle pendant que le plan de contrôle lui-même est sous surveillance.

L'évolution ultérieure de Progress vers des service packs et une maintenance plus prévisible peut aider la posture de sécurité de routine. L'exploitation d'urgence est différente. Pendant une campagne en direct, la clarté compte plus que la cadence. Chaque avis doit indiquer quelles versions sont affectées, ce qui a changé depuis l'avis précédent, si une exploitation a été observée, si l'accès web doit rester bloqué et si le correctif remplace toutes les atténuations précédentes. Les opérateurs ont besoin d'un arbre de décision, pas seulement de notes de version.

La séquence de juin a également changé le langage de divulgation. Si un client n'avait aucune preuve d'exploitation en mai mais restait exposé à une vulnérabilité ultérieure avant l'application du correctif, la portée de l'enquête changeait. Si les vulnérabilités ultérieures n'étaient pas observées en exploitation, cela devait être dit clairement pour éviter de gonfler le nombre d'incidents. Un bon calendrier des avis exige de la précision sur l'exploitation observée, la capacité potentielle et la nécessité du correctif. Les combiner en une seule alarme crée de la fatigue et peut dégrader la qualité de la réponse.

Les preuves de ressources réseau ont aidé mais n'ont pas pu prouver la compromission

Les preuves de balayage Internet étaient importantes dans la campagne MOVEit. Censys a identifié des milliers d'hôtes MOVEit exposés sur Internet autour de la période de divulgation et a suivi les changements d'exposition. Ces données ont aidé à montrer la population atteignable et la vitesse à laquelle certains services sont passés hors ligne. Elles pouvaient également aider les organisations à découvrir des actifs oubliés ou des relations d'hébergement tierces. Les preuves de ressources réseau sont précieuses car les attaquants trouvent les services exposés plus rapidement que de nombreux inventaires d'actifs.

Mais l'exposition n'est pas la compromission. Un hôte visible sur Internet peut être protégé par un contrôle compensatoire, déjà corrigé, non vulnérable en raison de sa version, ou ne pas être utilisé pour stocker des fichiers sensibles. Inversement, un hôte non capturé par un balayage particulier peut tout de même être compromis. Un scanner voit des caractéristiques observables de l'extérieur; il ne lit pas les journaux locaux ni les historiques de fichiers. L'analyse sectorielle ultérieure de Censys a mis en garde contre le fait de traiter les observations d'exposition comme des décomptes de victimes.

La même prudence s'applique aux indicateurs IP et aux noms de fichiers de shell web. La CISA, Mandiant, Rapid7, Huntress et d'autres intervenants ont publié des indicateurs utiles. Ces indicateurs étaient des indices pour les enquêtes locales, pas des preuves universelles. Les attaquants peuvent changer d'infrastructure. Les journaux peuvent être renouvelés. L'absence d'un nom de fichier connu ne prouve pas la sécurité. Une adresse source connue dans un journal ne prouve pas toujours un vol réussi. Les preuves locales restent décisives.

La leçon pour le plan de contrôle est que les preuves doivent être stratifiées. Les balayages externes identifient les services joignables. Les avis des fournisseurs identifient les versions affectées et les correctifs. Les rapports de menace identifient les comportements observés. Les journaux locaux montrent les requêtes, les comptes, les téléchargements, les fichiers et les horodatages. Les enregistrements de conservation des fichiers montrent ce qui était présent. Les cartographies des données clients montrent qui possédait les enregistrements. Les décisions de divulgation nécessitent toutes ces couches.

Une faiblesse dans une seule couche ralentit la notification ou crée une notification trop large.

MOVEit a exposé combien d'organisations ont dû construire cette pile de preuves sous pression. Certaines l'ont fait publiquement et bien. D'autres ont divulgué des mois plus tard par l'intermédiaire de fournisseurs. La différence n'était pas toujours une question de qualité morale. Elle reflétait souvent si l'organisation disposait de journaux durables, d'une propriété claire des fichiers, d'une conservation courte et d'une cartographie des fournisseurs prête à l'incident avant l'arrivée de l'avis.

La divulgation de masse a été un échec de cartographie des données autant qu'une conséquence du vol

La campagne est devenue visible mondialement grâce aux avis de divulgation. Une seule plateforme de transfert de fichiers exploitée pouvait contenir des fichiers de nombreux clients, et chaque fichier pouvait contenir des enregistrements pour de nombreuses personnes. Après le vol, la question n'était plus seulement « MOVEit a-t-il été corrigé? » mais « quelles lignes dans quels fichiers représentaient quelles personnes sous quelles obligations légales? » C'est la cartographie des données.

La Nouvelle-Écosse a dû informer des groupes comprenant des fonctionnaires, des travailleurs de la santé, des bénéficiaires de retraite, des étudiants et des clients des services communautaires. Le Département de l'éducation de la ville de New York a signalé qu'environ 19 000 fichiers avaient été copiés et qu'ils comprenaient des évaluations d'élèves, des rapports de progression des services, du matériel Medicaid et des dossiers de congés des employés. CalPERS a divulgué une exposition par l'intermédiaire de PBI Research Services, un fournisseur utilisé pour identifier les décès des membres et prévenir les trop-perçus.

Ces exemples montrent trois schémas: impact direct sur l'opérateur, propriété des données du secteur public et exposition par l'intermédiaire de fournisseurs.

La cartographie des données est souvent traitée comme une administration de la vie privée. Dans un incident de transfert de fichiers, c'est un contrôle de récupération. Si les fichiers sont conservés plus longtemps que nécessaire, l'exposition augmente. Si les noms de fichiers n'identifient pas la propriété du client, la délimitation ralentit. Si un prestataire de services ne peut pas rapidement associer un fichier à un propriétaire de données, la notification ralentit. Si un propriétaire de données ne sait pas qu'un fournisseur utilise MOVEit, il peut n'apprendre l'incident qu'après que le fournisseur a déjà commencé sa propre enquête.

Le plan de contrôle du transfert de fichiers devrait donc porter des métadonnées qui prennent en charge la délimitation d'urgence: propriétaire des données, classe de conservation, objectif du transfert, heure de suppression prévue, catégorie de sensibilité et contact client. Toutes les métadonnées ne peuvent pas être publiques ou simples. Certains transferts sont complexes. Mais l'absence de métadonnées transforme la compromission en travail archéologique. Les victimes attendent pendant que les organisations redécouvrent à quoi le système servait.

Une conservation courte est particulièrement puissante. Si une plateforme de transfert est un mécanisme d'échange temporaire, les fichiers ne devraient pas s'accumuler au-delà des besoins opérationnels. Chaque jour de conservation supplémentaire augmente les données disponibles pour un attaquant zero-day. De nombreuses organisations disent qu'elles conservent les données « au cas où » quelqu'un aurait besoin de les re-télécharger. La campagne MOVEit a montré l'autre côté de la commodité: les fichiers conservés deviennent un inventaire de violation.

Le langage des avis devrait protéger les preuves, pas seulement les systèmes

De nombreux avis de vulnérabilité sont optimisés pour l'application de correctifs. C'est compréhensible. Il est urgent de fermer le trou actif. Pour les plans de contrôle de transfert, les avis devraient également protéger les preuves. Le premier message devrait dire aux opérateurs de restreindre l'accès, de préserver les journaux pertinents, de prendre des instantanés des systèmes lorsque cela est possible, d'inspecter les indicateurs connus, d'identifier les fichiers présents pendant la fenêtre d'exposition et de se coordonner avec les propriétaires de données avant de supprimer ou d'écraser des preuves utiles.

Cela ne signifie pas retarder l'atténuation tout en construisant un dossier médico-légal parfait. Cela signifie intégrer la préservation des preuves dans l'atténuation. Une reconstruction précipitée peut effacer les journaux. Un script de nettoyage peut supprimer des artefacts avant qu'ils ne soient enregistrés. Un service restauré peut reprendre la rotation normale des journaux. Une purge de fichiers peut briser la chaîne nécessaire pour notifier les personnes avec précision. Le meilleur manuel d'urgence ordonne les étapes de sorte que le risque actuel soit réduit et que le risque passé reste connaissable.

Les conseils de Progress ont évolué rapidement et comprenaient l'examen des journaux, le blocage de l'accès web, l'application de correctifs et la vérification des indicateurs. Les intervenants gouvernementaux et industriels ont ajouté leurs propres indicateurs et recommandations. Le fait n'est pas que les conseils publics manquaient de contenu médico-légal. Le fait est que les plateformes de transfert devraient avoir ce manuel prêt avant une zero-day, avec des emplacements de journaux spécifiques au produit, des avertissements de conservation par défaut, des listes d'artefacts et des modèles de communication client.

Les clients ont besoin de la même préparation. Ils devraient savoir quels systèmes de transfert sont exposés sur Internet, quelles unités commerciales les possèdent, quels fournisseurs les exploitent, où résident les journaux, combien de temps les fichiers sont conservés et qui peut les mettre hors ligne. Ils devraient pré-autoriser les temps d'arrêt d'urgence pour les produits de transfert à haut risque. Un système de transfert de fichiers qui ne peut pas être mis hors ligne pendant une exploitation active n'est pas un système d'échange contrôlé. C'est un processus métier sans mode de défaillance sécurisé.

Le devoir de divulgation du fournisseur s'est poursuivi après le correctif

Progress a fait face à un événement difficile. Il a dû enquêter sur une zero-day, corriger les produits cloud et sur site, communiquer avec les clients, se coordonner avec des experts externes, répondre à des vulnérabilités supplémentaires trouvées lors de l'examen du code, gérer les demandes juridiques et réglementaires et gérer la divulgation aux investisseurs. Le dossier public montre une activité de réponse substantielle. Il montre également pourquoi le devoir de divulgation du fournisseur ne s'arrête pas lorsqu'un correctif est publié.

Les clients avaient besoin de clarté sur l'état de l'exploitation, les versions affectées, les correctifs remplacés, les actions cloud, les responsabilités sur site, l'examen des journaux et si des vulnérabilités supplémentaires avaient été exploitées. Les investisseurs et les régulateurs avaient besoin d'informations sur les risques. Les propriétaires de données devaient savoir si l'opérateur de la plateforme pouvait identifier les fichiers volés. La conclusion ultérieure de l'enquête de la SEC, annoncée par Progress, a ajouté un autre dossier public mais n'a pas supprimé les leçons opérationnelles.

La norme de responsabilité devrait reconnaître ce que le fournisseur ne pouvait pas contrôler. Progress ne pouvait pas corriger directement chaque serveur exploité par les clients. Il ne pouvait pas connaître chaque fichier stocké par chaque client. Il ne pouvait pas obliger chaque fournisseur à notifier instantanément chaque client. Mais Progress contrôlait le développement sécurisé, la réponse aux vulnérabilités, la clarté des avis, la remédiation cloud, la sensibilisation des clients et les conseils médico-légaux spécifiques au produit. Ce sont les domaines où la responsabilité est concentrée.

Pour les opérateurs, la responsabilité était concentrée ailleurs. Ils contrôlaient l'exposition, la gestion des versions, le changement d'urgence, la conservation des journaux, la conservation des fichiers et la communication avec les fournisseurs. Pour les propriétaires de données, la responsabilité incluait de savoir où les données sensibles se déplaçaient et si un fournisseur utilisait une plateforme de transfert vulnérable. La campagne MOVEit n'est pas utile si elle devient une recherche d'un seul responsable pour chaque notification. Elle est utile si elle montre exactement quel contrôle a échoué où.

La conservation était le contrôle discret du rayon d'impact

Les systèmes de transfert de fichiers conservent souvent des fichiers par commodité. Un partenaire peut avoir besoin de re-télécharger un lot. Une unité commerciale peut vouloir un court tampon au cas où une tâche échoue. Un service d'assistance peut préférer ne pas demander à un expéditeur de télécharger à nouveau. Ces raisons sont compréhensibles. Elles créent également un inventaire de violation. Pendant la campagne MOVEit, les dommages dans un environnement spécifique ne dépendaient pas seulement du fait que l'exploit ait fonctionné, mais aussi des fichiers disponibles lorsqu'il a fonctionné.

La conservation est donc un contrôle du rayon d'impact. Une plateforme de transfert qui supprime rapidement les fichiers après une récupération réussie offre moins à un attaquant qu'une plateforme qui accumule des jours ou des semaines d'échanges sensibles. Une conservation courte n'empêche pas l'exploitation. Elle réduit la valeur d'un exploit réussi et simplifie la délimitation ultérieure. Si seule une fenêtre étroite de fichiers peut être présente, les enquêteurs ont moins d'enregistrements à cartographier et moins de personnes à notifier.

La conservation affecte également les preuves. Supprimer trop rapidement les fichiers transférés sans conserver les métadonnées peut rendre la notification plus difficile, car l'organisation peut savoir qu'un fichier a existé mais pas ce qu'il contenait ni à qui il appartenait. Conserver les fichiers indéfiniment crée une exposition. Le meilleur modèle est une conservation courte du contenu associée à des métadonnées durables: expéditeur, destinataire, propriétaire commercial, heure du transfert, classe de sensibilité, heure de suppression et une identité de fichier suffisante pour cartographier le transfert sans conserver le contenu inutile.

Cela donne aux enquêteurs un grand livre sans transformer le système de transfert en archive.

De nombreuses organisations découvrent pendant un incident que leur plateforme de transfert est devenue un référentiel fantôme. Les tâches planifiées déposent des fichiers. Les utilisateurs les collectent plus tard. Les tâches échouées laissent des doublons. Les anciens dossiers restent parce que personne n'est responsable du nettoyage. Une vulnérabilité expose alors non seulement les échanges en cours, mais aussi un historique de commodité opérationnelle.

Les divulgations MOVEit montrent pourquoi les plateformes de transfert devraient être régies comme des magasins de données à haut risque même lorsque leur objectif prévu est un mouvement transitoire.

C'est également là que les prestataires de services portent un devoir spécial. Un prestataire qui utilise un seul système de transfert pour de nombreux clients ne devrait pas se fier à la mémoire humaine pour identifier la propriété des fichiers après une violation. La propriété du client, la catégorie de données et les règles de conservation devraient être encodées dans le flux de travail. Sinon, un seul exploit devient un exercice de reconstruction manuelle client par client. Cette reconstruction retarde les notifications en aval et augmente le risque de sous-notification et de sur-notification.

La leçon de conservation est pratique. Avant qu'un produit de transfert ne soit compromis, les organisations devraient demander: quels fichiers sont stockés, pendant combien de temps, sous l'autorité de qui et avec quelles métadonnées? Après la compromission, ces réponses déterminent si l'organisation peut délimiter rapidement ou doit enquêter à partir des principes de base. La différence peut représenter des mois d'incertitude.

Les chaînes de fournisseurs ont transformé un avis en plusieurs horloges de notification

La campagne MOVEit a également exposé le décalage entre l'horloge des avis du fournisseur et l'horloge de notification du propriétaire des données. Progress pouvait publier un avis et un correctif le 31 mai. Un opérateur sur site pouvait bloquer l'accès et corriger un serveur le 1er juin. Un prestataire de services pouvait commencer sa propre enquête après avoir découvert des téléchargements suspects. Un propriétaire de données pouvait ne pas apprendre que ses enregistrements étaient impliqués avant plus tard. Une personne dont les informations se trouvaient dans un fichier pouvait recevoir une notification des mois après l'exploit.

Chaque étape était une horloge différente.

Ce n'est pas simplement de la lenteur. C'est une caractéristique structurelle des flux de données des fournisseurs. Un système de retraite peut envoyer des enregistrements à un fournisseur de vérification de décès. Le fournisseur peut utiliser MOVEit. Le serveur vulnérable peut être exploité par le fournisseur ou une autre partie. Le système de retraite peut alors devoir notifier les membres. La personne affectée peut n'avoir jamais entendu parler du produit de transfert. La responsabilité voyage à travers des contrats et des cartographies de données qui sont souvent moins visibles que la technologie.

Le droit de notification peut intensifier cette complexité. Différentes juridictions et secteurs comptent les délais de notification différemment. Certaines horloges démarrent lorsque l'organisation détermine que des informations personnelles ont été acquises. D'autres dépendent du délai des forces de l'ordre, des instructions du propriétaire des données ou des accords clients. Un fournisseur qui ne peut pas rapidement associer les fichiers volés aux clients retarde chaque analyse juridique en aval. Un propriétaire de données qui ne connaît pas la pile de sous-traitants de son fournisseur peut ne pas savoir où demander en premier.

La réponse de contrôle est la preuve du chemin du fournisseur. Les propriétaires de données devraient savoir quels fournisseurs et sous-traitants gèrent les transferts sensibles, quels produits ils utilisent, où les données sont stockées, combien de temps les fichiers restent disponibles et quelles conditions de notification d'incident s'appliquent. Les prestataires de services devraient pouvoir produire rapidement des listes de fichiers affectés spécifiques aux clients.

Les fournisseurs devraient rédiger des avis avec suffisamment de spécificité pour que les fournisseurs puissent déterminer si les données de leurs clients pourraient être concernées. L'objectif n'est pas une notification instantanée parfaite. C'est d'empêcher une chaîne évitable de redécouverte.

CalPERS, la Nouvelle-Écosse et les dossiers éducatifs de la ville de New York montrent différents points dans cette chaîne. L'un impliquait un chemin de fournisseur, l'autre des services exploités par le gouvernement et le troisième un propriétaire de données éducatives publiques. La caractéristique commune était le passage de la vulnérabilité du produit à l'identification des fichiers, puis à la notification destinée aux personnes. Un correctif de produit ne peut pas faire ce travail. Seuls des enregistrements de propriété des données préexistants le peuvent.

Les instances non prises en charge ou non gérées créent des angles morts dans les avis

Le dépôt de Progress a noté une télémétrie limitée pour les déploiements de MOVEit Transfer exploités par les clients. C'est une réalité courante pour les logiciels sur site. Cela devient dangereux lorsque le logiciel est exposé sur Internet et critique. Un fournisseur peut notifier les clients connus, mais les inventaires de logiciels se dégradent. Les unités commerciales déménagent. Les sous-traitants gèrent les serveurs. Les licences expirent alors que les systèmes restent en ligne. Les anciens clients conservent d'anciennes instances pour des tâches héritées. Un avis peut manquer le système même qu'un attaquant peut encore voir.

Le balayage Internet aide à révéler cet angle mort. Censys et d'autres sources d'exposition peuvent montrer qu'un service ressemblant à MOVEit est joignable, mais ils ne peuvent pas toujours identifier l'opérateur responsable ou prouver la version. Un balayage peut trouver un hôte que la base de données clients du fournisseur ne relie pas à la bonne personne. Cela crée un écart de réponse: l'attaquant voit une cible, le fournisseur peut ne pas savoir à qui elle appartient et l'organisation peut ne pas savoir que l'actif existe.

La leçon de responsabilité est que l'inventaire des actifs n'est pas une tâche cléricale. C'est le lien entre les avis publics et la remédiation réelle. Une organisation exploitant un logiciel de transfert exposé sur Internet devrait avoir un propriétaire, un enregistrement de version, un contact d'urgence, un chemin d'interruption approuvé et une décision explicite sur la possibilité que le service soit joignable depuis Internet. Un fournisseur devrait prendre en charge la découverte de version lisible par machine et des canaux de notification client qui survivent au roulement du personnel.

Les prestataires de services gérés devraient maintenir leurs propres cartes de contact d'urgence orientées client.

Les instances non prises en charge ou non gérées compliquent également la divulgation. Si un ancien serveur contient des fichiers sensibles et que personne ne le reconnaît avant une campagne, l'organisation peut manquer de journaux, d'enregistrements de conservation ou de support actuel. Le résultat n'est pas seulement un retard dans l'application des correctifs; c'est des preuves faibles sur qui a été lésé. Cette faiblesse des preuves peut produire une notification large parce que l'organisation ne peut pas réduire la portée, ou une notification insuffisante parce qu'elle ne trouve jamais les données affectées.

La campagne MOVEit devrait donc faire de l'inventaire des transferts de fichiers exposés sur Internet un élément de gouvernance récurrent. Les conseils d'administration et les équipes d'audit devraient demander une liste des systèmes de transfert, l'état d'exposition, le propriétaire, la règle de conservation, la version prise en charge et le contact d'incident. Si cette liste ne peut pas être produite avant une crise, elle n'apparaîtra pas comme par magie après un avis zero-day.

L'assurance des correctifs nécessitait une piste de preuves versionnée

Les correctifs d'urgence répétés créent un problème de documentation. Les opérateurs doivent prouver non seulement qu'ils ont appliqué des correctifs, mais aussi quel correctif ils ont appliqué, quand l'accès web a été bloqué, quand le service a été restauré, si des avis supplémentaires ont remplacé le correctif précédent et si tous les nœuds d'un déploiement ont été mis à jour. Dans un incident de transfert de fichiers à enjeux élevés, cette piste de preuves est importante à la fois pour la sécurité et pour les avis juridiques.

La séquence publique de MOVEit illustre le problème. Le 31 mai a traité la vulnérabilité exploitée initiale. Le 9 juin et le 15 juin ont traité des vulnérabilités d'injection SQL supplémentaires trouvées lors de l'examen. Juillet a apporté des correctifs supplémentaires. Certains n'étaient pas publiquement liés à l'exploitation dans la campagne initiale, mais ils nécessitaient toujours une action. Un opérateur qui a mis à jour une fois et s'est arrêté pouvait honnêtement dire qu'il avait agi rapidement tout en devenant obsolète quelques jours plus tard.

Une piste de preuves versionnée devrait inclure l'identifiant de l'avis, la liste CVE, la version logicielle avant le correctif, la version logicielle après le correctif, le hachage ou l'identité du package lorsque cela est possible, le début et la fin de la restriction d'accès web, l'identité de l'administrateur, les nœuds affectés et le résultat de la validation. Pour les services cloud, le fournisseur devrait fournir des preuves comparables orientées client indiquant que l'environnement a été mis à jour. Pour les systèmes sur site, l'opérateur devrait conserver sa propre piste.

Pour les prestataires de services, les rapports aux clients devraient indiquer quel environnement hébergeait les données du client et quel état de correctif s'appliquait à cet environnement.

Ce n'est pas un excès bureaucratique. Lorsqu'un client demande si ses données ont été exposées avant ou après un correctif, la réponse dépend des dates et des versions. Lorsqu'un assureur, un régulateur ou un propriétaire de données demande si l'atténuation a été opportune, la réponse dépend de la piste de preuves. Lorsqu'une vulnérabilité ultérieure est divulguée, les intervenants doivent savoir si la maintenance précédente incluait déjà le correctif. Sans preuves versionnées, la réponse aux incidents devient un concours de mémoire.

La leçon plus large du cycle de vie logiciel est que les correctifs d'urgence devraient être auditables par conception. Les produits devraient rendre la version actuelle et l'état des correctifs faciles à exporter. Les avis devraient clairement associer les versions aux CVE. Les opérateurs devraient traiter la preuve de correctif comme faisant partie de la réponse aux incidents, et non comme une corvée postérieure. Dans un plan de contrôle de transfert de fichiers, l'assurance des correctifs est l'assurance de la divulgation.

L'assurance des correctifs devrait également être lisible par le client. Un propriétaire de données ne devrait pas avoir à déduire d'une déclaration générique d'un fournisseur que ses propres enregistrements se trouvaient derrière une instance corrigée ou non corrigée. Le rapport utile indique quel environnement contenait les données, quelle fenêtre d'exposition fait l'objet de l'enquête, si des preuves de vol existent, quelles versions d'avis ont été appliquées et quels journaux ont été examinés.

Ces informations permettent au propriétaire des données de décider s'il notifie parce que l'acquisition est confirmée, parce que l'acquisition ne peut pas être exclue ou parce qu'un contrat exige une notification après une compromission de la plateforme. Ce sont des positions de responsabilité différentes.

Note sur la typographie et la lisibilité

La typographie est l'art et la technique d'agencer les caractères pour rendre le langage écrit lisible, compréhensible et visuellement attrayant. Elle implique la sélection de polices de caractères, de tailles de points, de longueurs de ligne, d'espacement des lignes et d'espacement des lettres.

  • La typographie est née de l'invention des caractères mobiles par Johannes Gutenberg au XVe siècle.
  • Les éléments clés incluent la sélection de la police, le crénage, l'approche de groupe et l'interlignage.
  • Une bonne typographie améliore la lisibilité et transmet une ambiance ou un ton dans la conception.

Le test de responsabilité

MOVEit a transformé le calendrier des correctifs en divulgation de masse parce que le plan de contrôle vulnérable se trouvait entre de nombreuses organisations et leurs fichiers sensibles. Un correctif au 31 mai était nécessaire. Il n'était pas suffisant pour répondre qui avait déjà été accédé, quels fichiers avaient été copiés, quels clients possédaient ces fichiers ou quelles personnes faisaient face à un risque résiduel. Ce travail dépendait des journaux, de la conservation, de l'inventaire des actifs, des cartographies des fournisseurs et de la gouvernance des notifications.

La meilleure norme est la résilience du plan de contrôle. Les fournisseurs de transfert de fichiers devraient concevoir des produits et des avis pour la réponse à l'exploitation, pas seulement pour les correctifs de routine. Les opérateurs devraient garder les systèmes de transfert visibles, avec une exposition minimale, une conservation courte et prêts à fournir des preuves. Les propriétaires de données devraient savoir quels fournisseurs déplacent leurs enregistrements et quelles obligations de notification commencent lorsque la plateforme de transfert d'un fournisseur est compromise.

Les régulateurs devraient juger la vitesse de réponse en couches: vitesse de correction, préservation des preuves, cartographie des propriétaires de données et notification individuelle.

La leçon durable de la campagne est qu'un système de transfert de fichiers n'est pas qu'un simple tuyau. C'est un coffre-fort temporaire, un moteur de flux de travail et un grand livre de preuves. Lorsque ce plan de contrôle échoue, le correctif n'est que le début de la responsabilité.