Extreme Networks émerge victime de l’attaque Clop MOVEit

Extreme Networks a révélé qu’il s’agit de la dernière entreprise technologique touchée par la cyberattaque MOVEit en développement rapide, les clients en aval du fournisseur de matériel et de services réseau risquant potentiellement de se faire voler leurs données par l’opération de cyber-extorsion Clop (alias Cl0p).

Dans un message publié mercredi 7 juin, Philip Swain, RSSI d’Extreme Networks, a déclaré : « Nous avons récemment appris que notre instance de l’outil Progress Software MOVEit Transfer avait été impactée par un acte malveillant. Nous avons pris des mesures immédiates, en utilisant nos protocoles de sécurité, et avons contenu les zones touchées.

« Notre enquête est en cours, et s’il est déterminé que les renseignements sur les clients ont été touchés, nous communiquerons directement avec ces clients et divulguerons toutes les informations pertinentes », a déclaré M. Swain.

La divulgation est intervenue après que le titre frère de CFP, LeMagIT, a contacté Extreme Networks le mardi 6 juin, après avoir appris l’existence d’une instance du service de transfert de fichiers géré affecté, MOVEit Transfer, associé au domaine d’Extreme Networks. Cette instance était censée présenter un comportement symptomatique de la chaîne d’exploitation CVE-2023-34262.

Plus tard le même jour, l’instance s’est avérée ne pas répondre et semblait avoir été déconnectée de l’Internet public. Extreme Networks n’avait pas répondu à la demande de clarification de LeMagIT au moment de la rédaction de cet article.

CVE-2023-34262 est une vulnérabilité d’injection SQL dans le transfert MOVEit sur laquelle Clop travaille apparemment depuis longtemps. C’est le dernier d’une série de produits de transfert de fichiers à avoir été compromis par Clop et retourné contre leurs utilisateurs.

À ce jour, la victime la plus médiatisée de la nouvelle vague d’attaques du cybergang prolifique a été Zellis, un fournisseur de logiciels de ressources humaines et de paie.

Un certain nombre de clients de Zellis, dont la BBC, Boots et British Airways, ont vu leurs données d’employés exfiltrées par Clop, qui exige actuellement que les victimes prennent contact avec elle d’ici le 14 juin pour négocier une rançon.

Dans des déclarations mal formulées publiées sur son site de fuite, Clop a déjà laissé entendre que si une organisation utilise MOVEit Transfer, il y a de fortes chances qu’elle ait obtenu ses données.

Plus de 2 000 instances connues de MOVEit Transfer ont été exposées à Internet au moment de la divulgation, et il n’est pas possible de chiffrer le nombre de clients touchés par ces organisations.

Compte tenu de la façon dont l’exploit a été utilisé, l’ajout d’Extreme Networks à la liste préoccupera ses 50 000 clients dans le monde, bien qu’au moment de la rédaction de cet article, il n’y ait aucune preuve montrant que l’un d’entre eux a été compromis.

Extreme Networks a une présence particulièrement forte dans le secteur du sport et du divertissement, avec des clients britanniques tels que Liverpool et Manchester United, équipes de Premier League.

Les victimes britanniques en demande

Cybersixgill, un spécialiste du renseignement sur les menaces basé en Israël, a déclaré qu’au cours des derniers jours, son équipe de recherche avait découvert plusieurs messages sur des forums du dark web demandant spécifiquement des données sur les victimes basées au Royaume-Uni, l’un offrant jusqu’à 100 000 dollars, bien qu’ils fassent spécifiquement référence aux clients de Zellis.

Dans des commentaires envoyés par courrier électronique, Cybersixgill a déclaré à CFP que l’acteur de la menace avait en outre affirmé que les données seraient utilisées « par une équipe dédiée à l’exploitation des données provenant du Royaume-Uni ».