Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Gestion des risques liés à la cybersécurité > Violation de Données Cleo Harmony : Des Vulnérabilités Zero-Day Exposent des Données Critiques de la Supply Chain
Violation de Données Critiques de la Supply Chain Cleo Harmony

Violation de Données Cleo Harmony : Des Vulnérabilités Zero-Day Exposent des Données Critiques de la Supply Chain

par Bob Ertl updated décembre 16, 2024 Gestion des risques liés à la cybersécurité
temps de lecture: 12 minutes

Dans une escalade significative des cybermenaces ciblant les chaînes d’approvisionnement, les chercheurs en sécurité de Huntress ont découvert une attaque sophistiquée de type menace persistante avancée (APT) exploitant des vulnérabilités dans le logiciel de transfert sécurisé de fichiers (MFT) de Cleo Harmony. Découverte le 3 décembre 2024, des revendications de vol de données pour 10 clients ont déjà été publiées par le groupe de ransomware Termite, exposant des données sensibles et perturbant des opérations commerciales critiques dans divers secteurs. Plus de 400 clients sont considérés comme vulnérables.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le vérifier?

Lire maintenant

L’incident souligne l’importance cruciale de la sécurité du transfert de fichiers dans les chaînes d’approvisionnement modernes. Alors que les entreprises dépendent de plus en plus de systèmes interconnectés pour gérer des données sensibles, les conséquences de l’échec de la sécurisation de ces systèmes sont catastrophiques. Les attaquants ont exploité deux vulnérabilités zero-day pour mener cette campagne, contournant les contrôles de sécurité fondamentaux et exposant les faiblesses inhérentes aux solutions MFT héritées.

La violation de Cleo Harmony démontre comment les opérations de la chaîne d’approvisionnement, un pilier du commerce mondial, sont devenues des cibles privilégiées pour les cybercriminels. Le vol de données et la perturbation opérationnelle ont des implications de grande portée, non seulement pour les entreprises individuelles mais pour l’ensemble des secteurs industriels.

Kiteworks, un fournisseur de premier plan de solutions de transfert sécurisé de fichiers, souligne l’importance d’une architecture de sécurité renforcée pour se défendre contre les cybermenaces évolutives. Cet article explore les leçons tirées de la violation de Cleo Harmony, offrant des aperçus exploitables sur la manière dont les organisations peuvent protéger leurs données sensibles et pérenniser leurs opérations contre des attaques similaires.

Gérez vos risques de confidentialité et de conformité des données pour 2025

Anatomie de l’attaque Zero-Day de Cleo Harmony

La violation de Cleo Harmony a été rendue possible par deux vulnérabilités zero-day critiques que les attaquants ont exploitées pour infiltrer les systèmes de transfert sécurisé de fichiers (MFT). Ensemble, ces vulnérabilités ont exposé des faiblesses fondamentales dans l’architecture de Cleo Harmony, permettant une série d’actions escaladantes qui ont compromis des données sensibles et perturbé les opérations.

La première vulnérabilité a permis des téléchargements de fichiers non authentifiés. Cette vulnérabilité critique a permis aux attaquants de télécharger des fichiers sans fournir d’identifiants, contournant le niveau de sécurité le plus basique. Une fois à l’intérieur, les attaquants ont exploité la deuxième vulnérabilité : l’accès à un répertoire “autorun”. Typiquement réservé à l’exécution de scripts d’installation légitimes, ce répertoire exécutait automatiquement tout fichier placé à l’intérieur, y compris les fichiers malveillants.

La progression de l’attaque impliquait un déploiement soigneusement orchestré de scripts PowerShell, qui s’exécutaient une fois atteignant le répertoire autorun. Ces scripts se connectaient à des serveurs de commande et de contrôle, téléchargeant des charges utiles supplémentaires, y compris un programme malveillant basé sur Java connu sous le nom de Malichus. Malichus a permis aux attaquants d’exfiltrer des données sensibles, de maintenir un accès persistant aux systèmes compromis et d’exécuter des commandes à distance pour une exploitation ultérieure.

La violation s’est déroulée selon une chronologie structurée, commençant par un accès initial via des téléchargements non authentifiés et culminant par le déploiement persistant de logiciels malveillants et le vol de données. Les attaquants ont tiré parti de cette progression pour maintenir le contrôle sur les serveurs affectés tout en évitant la détection.

Au cœur de cette violation se trouvait la faille flagrante du mécanisme d’authentification. L’authentification joue un rôle crucial dans le partage sécurisé de fichiers en vérifiant les identités des utilisateurs et en restreignant l’accès aux systèmes sensibles. Sans protocoles d’authentification appropriés, les organisations laissent leurs systèmes vulnérables à des actions non autorisées, comme le démontre cette attaque. La violation de Cleo Harmony souligne l’importance critique de mettre en œuvre l’authentification multifactorielle, la validation de contenu et les répertoires d’accès restreint. Ces mesures sont essentielles pour garantir que seuls les utilisateurs autorisés interagissent avec les systèmes sensibles, réduisant ainsi le risque d’exploitation.

Le deuxième problème fondamental était le durcissement laxiste : les principes de durcissement de la désactivation des services inutilisés et de la suppression du code inutile n’ont pas été suivis en ce qui concerne le répertoire autorun. Cette violation illustre clairement la raison de ce principe, car il était trivial pour un attaquant d’exécuter du code à distance une fois qu’il avait pénétré la première ligne de défense. Cleo a depuis conseillé aux clients de désactiver l’autorun.

Portée de la violation de Cleo Harmony

La violation de Cleo Harmony a jeté un large filet, affectant plusieurs produits et versions au sein de l’écosystème Cleo Harmony. Des vulnérabilités ont été identifiées dans Cleo Harmony, VLTrader et LexiCom, avec des attaques ciblant les versions jusqu’à 5.8.0.23. Ces versions héritées manquaient de mises à jour de sécurité critiques, les rendant susceptibles d’être exploitées par le groupe de ransomware Termite.

Géographiquement, la violation avait une empreinte mondiale, mais son impact a été particulièrement sévère en Amérique du Nord. Sur les 421 serveurs vulnérables identifiés dans le monde, 327 étaient situés aux États-Unis, représentant près de 78 % de tous les systèmes affectés. Cette concentration souligne le rôle critique de l’infrastructure nord-américaine dans les chaînes d’approvisionnement mondiales et les risques accrus associés à son compromis.

Les secteurs industriels clés ont subi le plus gros de l’attaque. Ceux-ci comprenaient les biens de consommation, la fabrication alimentaire, la logistique et le transport routier — des industries fortement dépendantes des systèmes de transfert sécurisé de fichiers pour gérer des données sensibles telles que les calendriers d’inventaire, les enregistrements de la chaîne d’approvisionnement et les transactions financières.

Les implications pour la sécurité du transfert sécurisé de fichiers sont significatives. Cette violation a révélé les vulnérabilités inhérentes aux systèmes MFT hérités qui privilégient la fonctionnalité à la sécurité. Avec les cybercriminels ciblant de plus en plus les infrastructures critiques, les organisations doivent se concentrer sur des plateformes conçues avec une approche axée sur la sécurité.

La violation de Cleo Harmony sert de signal d’alarme, soulignant la nécessité de moderniser les solutions de transfert de fichiers. Les organisations doivent privilégier les plateformes qui intègrent une authentification robuste, le chiffrement et la surveillance en temps réel pour protéger les données sensibles et assurer la continuité opérationnelle dans un paysage de menaces en évolution.

Impact sur les opérations de transfert sécurisé de fichiers

La violation de Cleo Harmony a perturbé les opérations commerciales dans plusieurs industries, exposant les vulnérabilités des systèmes MFT hérités. Les organisations qui dépendaient des serveurs compromis ont fait face à des interruptions de leurs chaînes d’approvisionnement, car les attaquants ont exfiltré des données sensibles et causé des retards opérationnels. Pour les entreprises dépendantes de l’échange de données en temps réel — telles que les fournisseurs de logistique et les fabricants — ces perturbations ont eu des effets en cascade, retardant les expéditions, arrêtant les lignes de production et impactant les partenaires en aval.

En plus des interruptions commerciales, la violation a entraîné des compromis significatifs en matière de sécurité des données. Des fichiers sensibles, y compris des informations propriétaires, des données financières et des dossiers clients, ont été exfiltrés vers des serveurs contrôlés par les attaquants. La perte de ces données a non seulement exposé les organisations affectées à des dommages réputationnels, mais a également créé des risques de conformité, en particulier pour les entreprises opérant sous des cadres réglementaires stricts comme le RGPD ou la HIPAA.

La violation a également mis en lumière des vulnérabilités plus larges au sein des chaînes d’approvisionnement mondiales. Avec de nombreuses organisations s’appuyant sur des systèmes de transfert de fichiers interconnectés, un seul nœud compromis avait le potentiel de perturber les opérations à travers tout un réseau. Cet incident a démontré comment les plateformes MFT obsolètes peuvent devenir le talon d’Achille de systèmes de chaîne d’approvisionnement par ailleurs robustes.

Pour remédier à ces vulnérabilités, un engagement envers des mesures de sécurité modernes est nécessaire. L’architecture Zero Trust garantit que chaque utilisateur et appareil doit être authentifié et autorisé avant d’accéder aux systèmes sensibles. L’authentification multifactorielle (MFA) ajoute une autre couche de sécurité, tandis que les contrôles d’accès granulaires restreignent les autorisations des utilisateurs à ce qui est nécessaire pour leurs rôles. Enfin, le transfert de fichiers chiffré protège les données pendant le transit, les protégeant de l’interception ou de l’accès non autorisé.

Points Clés

  1. Les systèmes MFT hérités sont vulnérables

    La violation de Cleo Harmony a révélé des faiblesses significatives dans les plateformes de transfert sécurisé de fichiers (MFT) héritées. Sans authentification robuste, validation des fichiers et environnements d’exécution sécurisés, les systèmes obsolètes laissent les données sensibles exposées à des cyberattaques sophistiquées.

  2. Les chaînes d’approvisionnement sont des cibles privilégiées

    Les industries s’appuyant sur des systèmes interconnectés, telles que la logistique et les biens de consommation, ont subi des perturbations généralisées en raison de cette violation. Les cybercriminels exploitent les effets en cascade des vulnérabilités de la chaîne d’approvisionnement, amplifiant l’impact d’un seul nœud compromis.

  3. L’architecture Zero Trust est essentielle

    Un modèle Zero Trust garantit que chaque utilisateur et appareil est authentifié et autorisé avant d’accéder aux systèmes critiques. Cette approche minimise le risque d’actions non autorisées et offre une protection plus forte contre les menaces modernes.

  4. La détection avancée des menaces empêche l’escalade

    La surveillance en temps réel et les outils de détection des anomalies sont essentiels pour identifier et neutraliser les activités malveillantes avant qu’elles ne causent des dommages généralisés. Une surveillance continue des opérations de transfert de fichiers peut stopper des menaces comme les ransomwares et l’exfiltration de données.

  5. Kiteworks établit la norme pour le MFT sécurisé

    Kiteworks propose une alternative moderne et sécurisée aux systèmes hérités, avec des principes de zéro trust, une détection d’intrusion intégrée et une appliance virtuelle durcie.

Exigences de sécurité modernes pour le MFT

La violation de Cleo Harmony souligne le besoin urgent de mesures de sécurité modernes dans les systèmes MFT. Les plateformes héritées, conçues principalement pour la fonctionnalité, manquent des fonctionnalités de sécurité robustes nécessaires pour se défendre contre les menaces sophistiquées d’aujourd’hui. Les organisations doivent adopter des solutions MFT qui intègrent des capacités avancées pour garantir des opérations de transfert de données sécurisées et résilientes.

Les meilleures pratiques de durcissement et une architecture d’assume-breach sont essentielles pour ralentir ou prévenir ce type d’attaque. Des couches de défenses devraient empêcher l’accès aux internes du système, mais si l’accès est obtenu par des attaquants, d’autres couches de défenses devraient être en place en interne. Les services inutilisés, tels que l’autorun dans ce cas de Cleo, doivent être désactivés, et si possible, le code doit être supprimé du système.

Plusieurs formes de détection d’intrusion sont essentielles. Toutes ces méthodes deviennent difficiles avec des produits basés sur des installateurs où le client a le contrôle du système d’exploitation, les laissant fournir le durcissement, exécuter des tests de pénétration et conduire un système de récompenses. D’un autre côté, livrer le produit comme une appliance virtuelle durcie permet au fournisseur de fournir et de valider ces couches de protection et empêche le client d’installer tout logiciel vulnérable, même lorsqu’il exécute le système sur ses propres locaux comme c’est typique pour le MFT.

La protection sensible au contenu ajoute une autre couche de défense en identifiant et classifiant automatiquement les fichiers sensibles en fonction de leur contenu. Cette capacité garantit que les documents confidentiels, tels que ceux contenant des informations personnelles identifiables (PII) ou des dossiers financiers, reçoivent des mesures de sécurité appropriées pendant le transfert et le stockage.

La protection avancée contre les menaces est cruciale pour identifier et atténuer les risques potentiels en temps réel. Les outils de détection des menaces intégrés aux systèmes MFT peuvent analyser les modèles de transfert de fichiers pour détecter des anomalies, telles que des tailles de fichiers inhabituelles ou des tentatives d’accès, et prendre des mesures proactives pour bloquer les activités malveillantes.

Les protocoles de partage sécurisé de fichiers, tels que les chemins de transfert protégés, sont essentiels pour protéger les données en transit. Ces protocoles garantissent que les fichiers sensibles ne peuvent pas être interceptés ou modifiés pendant la transmission.

Les plateformes MFT modernes doivent également s’intégrer de manière transparente avec les outils de sécurité existants, tels que les systèmes de gestion des informations et des événements de sécurité (SIEM), pour fournir une visibilité complète des menaces. De plus, les outils de conformité qui s’alignent sur des réglementations comme le RGPD, la HIPAA et le SOC 2 sont non négociables, garantissant que les organisations respectent les normes légales et industrielles.

Attaque de la chaîne d’approvisionnement Blue Yonder

La violation de Cleo Harmony a eu un impact dévastateur sur Blue Yonder, un fournisseur de logiciels de chaîne d’approvisionnement de premier plan. Les attaquants ont exfiltré un volume impressionnant de 680 Go de données sensibles des systèmes de Blue Yonder. Ces données comprenaient des informations propriétaires sur la chaîne d’approvisionnement, des accords de partenariat et potentiellement des dossiers clients sensibles, exposant les vulnérabilités des systèmes MFT obsolètes.

L’impact en aval de cette violation a été significatif. Les entreprises s’appuyant sur les services de Blue Yonder, y compris Starbucks et plusieurs chaînes de supermarchés, ont connu des retards opérationnels, des perturbations dans la gestion des stocks et des effets en cascade sur leurs flux de travail de chaîne d’approvisionnement. Pour les organisations dépendantes des données en temps réel pour coordonner la fabrication et la logistique, ces interruptions ont souligné les risques critiques posés par des systèmes de transfert de fichiers non sécurisés.

Les implications de la violation vont au-delà de la perturbation opérationnelle. Elle a mis en évidence la nature interconnectée des chaînes d’approvisionnement et comment un compromis à un nœud peut se répercuter sur tout un réseau. Les entreprises qui faisaient confiance à Blue Yonder pour protéger leurs informations sensibles se sont retrouvées à faire face à des dommages réputationnels et à des risques de conformité.

Prévenir de telles violations nécessite une mise en œuvre sécurisée du MFT basée sur une architecture Zero Trust. Des fonctionnalités telles que le chiffrement de bout en bout, l’authentification multifactorielle et la protection sensible au contenu garantissent que les données sensibles restent sécurisées tout au long du processus de transfert. De plus, des outils de conformité robustes et des capacités de détection des menaces en temps réel sont essentiels pour protéger les chaînes d’approvisionnement contre les attaques futures.

Rapport 2024 de Kiteworks sur la sécurité et la conformité des communications de contenu sensible

Analyse technique approfondie : Chaîne d’attaque et prévention

La violation de Cleo Harmony s’est déroulée à travers une chaîne d’attaque structurée et délibérée qui a exploité des faiblesses systémiques dans les plateformes MFT héritées.

Les attaquants ont commencé par exploiter une vulnérabilité de téléchargement de fichiers non authentifiés pour placer des fichiers malveillants dans les serveurs de Cleo Harmony. Cette faille critique a permis à des acteurs non autorisés de contourner les contrôles d’accès de base. La deuxième étape a consisté à placer ces fichiers dans un répertoire “autorun”, qui exécutait automatiquement les fichiers téléchargés sans validation. Ces fichiers ont initié des scripts PowerShell qui ont téléchargé des charges utiles supplémentaires, y compris le malware Malichus.

Malichus a permis un accès persistant aux systèmes compromis, permettant aux attaquants d’exfiltrer des données, d’émettre des commandes à distance et d’escalader leur présence au sein des réseaux affectés.

Prévenir de telles attaques nécessite de traiter des vulnérabilités spécifiques avec des contrôles de sécurité robustes :

  1. Systèmes d’authentification : L’authentification multifactorielle garantit que seuls les utilisateurs autorisés peuvent interagir avec les plateformes MFT. Cette couche de vérification réduit considérablement le risque d’accès non autorisé.
  2. Validation des téléchargements de fichiers : Des protocoles de validation de fichiers complets doivent être en place pour examiner le contenu et l’intégrité des fichiers téléchargés. Les fichiers suspects doivent être automatiquement signalés ou mis en quarantaine.
  3. Gestion de l’accès aux répertoires : Les structures de répertoires protégées empêchent les fichiers malveillants de s’exécuter automatiquement. La fonctionnalité autorun doit être restreinte aux fichiers de confiance et vérifiés.
  4. Journalisation des audits : Des journaux détaillés de toutes les opérations de fichiers fournissent une visibilité sur les activités du système, permettant une détection et une réponse rapides aux anomalies.

Une architecture de sécurité renforcée qui intègre ces contrôles garantit que des vulnérabilités comme celles de Cleo Harmony ne peuvent pas être exploitées. Les plateformes MFT modernes construites sur des principes Zero Trust sont essentielles pour prévenir des violations similaires à l’avenir.

Sécuriser le transfert de fichiers d’entreprise

La sécurité du transfert de fichiers d’entreprise est devenue un composant essentiel de la gestion des risques organisationnels. Les systèmes MFT modernes doivent répondre à des exigences strictes pour contrer les cybermenaces sophistiquées d’aujourd’hui. Une mise en œuvre Zero Trust forme la base d’un système MFT sécurisé, garantissant que chaque utilisateur et appareil est authentifié et autorisé avant d’accéder aux données sensibles.

La surveillance continue et la détection des menaces en temps réel fournissent une couche de défense supplémentaire en identifiant les activités inhabituelles et en neutralisant les risques potentiels avant qu’ils ne s’aggravent.

Kiteworks offre un cadre de sécurité complet qui répond à ces défis, combinant des principes Zero Trust, une protection avancée contre les menaces et des outils de conformité. En intégrant une authentification robuste et une protection sensible au contenu, Kiteworks permet aux organisations de sécuriser les transferts de fichiers sensibles tout en maintenant l’efficacité opérationnelle. Importamment, il livre Kiteworks comme une appliance virtuelle pré-durcie, avec un pare-feu réseau intégré, un WAF ajusté pour les cas d’utilisation et les vecteurs d’attaque de Kiteworks, et une architecture d’assume-breach qui empêche l’installation de logiciels, détecte les exécutions de processus inattendues, désactive les services inutilisés, supprime le code inutile, applique les principes Zero Trust entre les composants internes, et détecte et avertit sur de nombreux types d’intrusions.

Renforcer la sécurité du transfert de fichiers pour prévenir la prochaine violation de Cleo Harmony

La violation de Cleo Harmony souligne les vulnérabilités des systèmes de transfert de fichiers hérités et le besoin pressant d’alternatives sécurisées. En exploitant des failles zero-day, le groupe de ransomware Termite a révélé des faiblesses systémiques qui ont exposé les organisations au vol de données et à la perturbation opérationnelle.

Le transfert sécurisé de fichiers est devenu une nécessité commerciale. Les organisations doivent privilégier les plateformes qui intègrent des fonctionnalités de sécurité robustes, leur permettant de partager des données sensibles en toute confiance et de rester en avance sur les cybermenaces évolutives. Kiteworks offre les outils avancés et l’architecture nécessaires pour répondre à ces exigences, fournissant un chemin fiable vers des opérations de transfert de fichiers sécurisées et pérennes.

FAQs

La violation a été causée par deux vulnérabilités zero-day dans la plateforme de transfert sécurisé de fichiers (MFT) de Cleo Harmony. Ces vulnérabilités ont permis aux attaquants de télécharger des fichiers malveillants sans authentification et de les exécuter automatiquement via un répertoire autorun.

Des secteurs tels que la logistique, la fabrication alimentaire, les biens de consommation et le transport routier ont été fortement affectés. Ces secteurs dépendent des systèmes MFT pour des opérations sensibles, ce qui en fait des cibles privilégiées pour le vol de données et la perturbation opérationnelle.

Les attaquants ont tiré parti des capacités de téléchargement de fichiers non authentifiés pour placer des fichiers malveillants dans le système. Ces fichiers ont ensuite été exécutés automatiquement, déployant des logiciels malveillants qui ont permis l’exfiltration de données et un accès persistant.

Les organisations doivent adopter des plateformes MFT modernes avec durcissement des serveurs selon les meilleures pratiques, architecture Zero Trust, authentification multifactorielle et validation avancée des fichiers. La surveillance continue et la détection sophistiquée des intrusions sont également essentielles pour atténuer les risques.

Kiteworks fournit un cadre de sécurité complet avec une appliance virtuelle pré-durcie avec un système de récompenses robuste, une architecture Zero Trust, une protection avancée contre les menaces, une surveillance en temps réel et une détection des intrusions.

Ressources supplémentaires

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks