La firme de cybersécurité Qualys est la dernière victime des piratages d’Accellion

0

La société de cybersécurité Qualys est probablement la dernière victime à avoir subi une brèche de données après qu’une vulnérabilité zero-day dans son serveur Accellion FTA ait été exploitée pour voler des fichiers hébergés.

En Décembre, une vague d’attaques a visé l’application de partage de fichiers Accellion FTA à l’aide d’une vulnérabilité zero-day qui permettait aux attaquants de voler les fichiers stockés sur le serveur.

Depuis, le ransomware Clop a extorqué ces victimes en publiant les données dérobées sur leur site de fuite de données.

Comme les périphériques Accellion FTA sont des serveurs autonomes conçus pour être en dehors du périmètre de sécurité d’un réseau et accessibles au public, aucune attaque n’a été signalée sur ces appareils conduisant à un compromis des systèmes internes.

Les victimes connues extorquées par Clop sont Transport for NSW, Singtel, Bombadier, le spécialiste des géo-données Fugro, le cabinet d’avocats Jones Day, la société scientifique et technologique Danaher et la société de services techniques ABS Group.

Qualys, la dernière victime à être extorqué

Le gang de ransomware Clop a posté des captures d’écran de fichiers appartenant prétendument à la société de cybersécurité Qualys. Les données divulguées incluent des bons de commande, des factures, des documents fiscaux et des rapports d’analyse.

Comme l’a rapporté Valery Marchive de LegMagIT, Qualys avait un dispositif Accellion FTA situé sur leur réseau.

L’appareil Accellion FTA a été localisé sur fts-na.qualys.com, et l’adresse IP utilisée par le serveur est attribuée à Qualys. La société a depuis mis hors service le dispositif FTA, Shodan montrant qu’il était actif pour la dernière fois le 18 février 2021.

qualys

On ne sait pas si Clop a envoyé des notes de rançon à Qualys concernant l’attaque, mais d’autres victimes les ont reçues dans le passé, selon un rapport de Mandiant.

Il n’est toujours pas clair si le gang de ransomware Clop a effectué les attaques sur les appareils Accellion FTA ou est en partenariat avec un autre groupe pour partager les fichiers et extorquer des victimes publiquement.

Clop a par le passé envoyé des courriers électronique à des journalistes au sujet des nouvelles victimes de Accellion FTA affichées sur leur site.

Qualys confirma la brèche d’Accellion FTA

Dans un communiqué publié récemment, Qualys a confirmé que leur serveur Accellion FTA a été piraté en Décembre 2020 et cela a affecté un nombre limité de clients.

Comme le serveur a été déployé dans leur DMZ, qui est séparé de leur réseau interne, l’environnement produit n’a pas été compromis.

« De nouvelles informations ont été disponibles aujourd’hui concernant un exploit de faille zero-day précédemment identifié dans une solution tierce, Accellion FTA, que Qualys a déployée pour transférer des informations dans le cadre de notre système de soutien à la clientèle. »

Qualys a confirmé qu’il n’y a pas d’impact sur les environnements de production, la base de code ou les données clients hébergées sur la plate-forme Cloud. Toutes les plates-formes continuent d’être pleinement fonctionnelles et à aucun moment il n’y a eu d’impact opérationnel.

« Qualys avait déployé le serveur Accellion FTA dans un environnement DMZ distinct, complètement séparé des systèmes qui hébergent et prennent en charge les produits pour transférer des informations dans le cadre de notre système de soutien à la clientèle », a révélé la société dans un rapport d’incident de sécurité.

Qualys déclare qu’ils ont mis hors ligne les serveurs Accellion FTA affectés et sont passés à d’autres applications pour les transferts de fichiers liés au support.

À l’heure actuelle, Qualys enquête toujours sur la brèche et a engagé Mandiant pour les aider.

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.