Leçons tirées de l'exploit Cleo : Les preuves confirment l'importance de la Secure laMFT 

En décembre 2024, des chercheurs en cybersécurité ont découvert une vulnérabilité alarmante de type exécution de code à distance (RCE) dans les produits de transfert de fichiers gérés par Cleo, comme l'a d'abord rapporté CSO Online.

Les attaquants ont activement exploité cette faille dans la nature, en contournant même les correctifs récemment publiés. Malgré les mises à jour de sécurité initiales de Cleo, les acteurs de la menace ont pu continuer à compromettre des systèmes à jour, révélant des faiblesses profondément enracinées dans le traitement des fichiers de base, la validation des entrées et la résilience de la plate-forme.

Ce dernier incident s'inscrit dans une tendance inquiétante : les solutions de transfert de fichiers gérées sont devenues des cibles de choix pour les cyberattaques sophistiquées. Ces plateformes, responsables du transfert sécurisé de données hautement sensibles à travers des canaux de confiance, représentent un point d'entrée attrayant pour les attaquants.

Une violation dans un environnement MFT (Managed File Transfer) peut avoir des conséquences catastrophiques, depuis la fuite systémique de données et les violations de la réglementation jusqu'à l'interruption des opérations dans des secteurs d'infrastructure critiques, ce qui peut nuire gravement à la réputation.

LeMFT Secure n'est plus optionnel dans les environnements d'infrastructures critiques. Les entreprises doivent aller au-delà des correctifs réactifs et des solutions antivirus uniques. Elles doivent au contraire adopter des architectures de sécurité avancées, proactives et multicouches, conçues spécifiquement pour défendre les opérations MFT contre les menaces modernes.

Aujourd'hui, les éléments suivants ne sont plus des bonnes pratiques, mais des nécessités opérationnelles :

Fin 2024, des chercheurs en sécurité ont identifié l'exploitation active d'une vulnérabilité critique d'exécution de code à distance de type "zero-day" dans les produits de transfert de fichiers gérés par Cleo. Les solutions concernées comprennent Cleo LexiCom, Cleo VLTrader et Cleo Harmony, largement utilisées dans les environnements d'entreprise.

Cleo LexiCom est un client MFT basé sur le bureau qui permet de se connecter aux principaux réseaux commerciaux. Cleo VLTrader offre des capacités MFT au niveau du serveur pour les entreprises de taille moyenne, tandis que Cleo Harmony vise à répondre aux besoins d'intégration et de transfert de fichiers sécurisé des grandes entreprises.

Même après la publication d'un premier correctif de sécurité en octobre 2024, les attaquants ont continué à cibler avec succès les systèmes Cleo, en exploitant les faiblesses qui n'avaient pas été entièrement corrigées, comme l'a rapporté Darktrace en décembre 2024.

Les équipes de sécurité ont exhorté les organisations à déconnecter immédiatement les serveurs concernés de l'internet et à mettre en œuvre des mesures d'atténuation temporaires dans l'attente d'un correctif plus complet.

1. Exploitation d'une vulnérabilité de téléchargement de fichiers pour écrire des fichiers sans autorisation
2. Déposer des fichiers malveillants dans le dossier "Autorun", déclenchant une exécution automatique.
3. Exploitation de la fonction d'exécution automatique pour déployer une chaîne de charges utiles comprenant des archives ZIP, des fichiers de configuration XML et des commandes PowerShell malveillantes.

Les enquêtes de suivi ont révélé des signes de tactiques avancées de la part des attaquants, telles que la reconnaissance de l'Active Directory, la suppression furtive de fichiers et le déploiement d'une porte dérobée Java personnalisée connue sous le nom de Cleopatra.

La faille de Cleo n'est pas un incident isolé. Au cours des dernières années, les systèmes de transfert de fichiers gérés sont devenus des cibles privilégiées pour les acteurs de menaces sophistiquées. Les fichiers sensibles échangés par l'intermédiaire de ces plateformes sont souvent étroitement liés aux opérations commerciales, aux données des clients ou aux informations réglementées, ce qui rend la récompense d'une compromission réussie extrêmement élevée. 

Des cas antérieurs très médiatisés tels que les violations de MOVEit Transfer, Accellion File Transfer Appliance et Fortra GoAnywhere montrent une tendance constante : les acteurs de la menace se concentrent sur les technologies de transfert de fichiers en tant que point d'entrée stratégique dans les réseaux d'entreprise.  

L'incident de Cleo confirme que même les organisations dont les systèmes sont patchés et mis à jour courent un risque si les solutions MFT ne sont pas conçues avec des principes de sécurité multicouches intégrés.

L'exploit Cleo met en évidence le besoin de solutions MFT qui ne reposent pas simplement sur des correctifs, mais qui sont conçues dès le départ avec des contrôles de sécurité multicouches. MetaDefender Managed File Transfer MFT est conçu pour les environnements où la sécurité prime et où le contrôle des transferts basé sur des règles, la prévention des menaces à plusieurs niveaux, la gouvernance centralisée et l'isolation stricte des zones sont essentiels.

Il est essentiel de sécuriser les premiers points de contact. MetaDefender MFT renforce les contrôles d'accès pour bloquer les entrées non autorisées avant que les attaquants ne puissent télécharger des fichiers malveillants ou prendre pied dans le réseau.

• Contrôle d'accèsSecure : Limite l'accès de MetaDefender MFT aux réseaux internes de confiance ou aux réseaux sécurisés par VPN. Cela permet d'éviter l'exposition directe aux attaquants externes qui tentent de télécharger des charges utiles malveillantes.
• Authentification multifactorielle (MFA) : Elle impose une couche supplémentaire de vérification de l'utilisateur. Même si les informations d'identification sont volées, les attaquants ne peuvent pas facilement obtenir un accès non autorisé.
• Contrôles d'accès basés sur les rôles avec approbation du superviseur : Applique des autorisations granulaires aux utilisateurs et aux flux de travail. Même les utilisateurs authentifiés doivent recevoir l'approbation d'un superviseur pour les actions critiques de chargement et de téléchargement.

L'arrêt des fichiers malveillants au niveau de la passerelle empêche les attaques de progresser à l'intérieur du système. MetaDefender MFT analyse en profondeur les données entrantes avant que tout contenu malveillant ne soit activé. 

• Pipeline d'inspection approfondie des fichiers : Identifie et bloque les fichiers dissimulés sous de fausses extensions. Les archives ZIP ou les fichiers XML malveillants sont détectés au moment du téléchargement.  
• Détection du pays d'origine : Filtre les fichiers entrants en fonction de leur géolocalisation. Les fichiers provenant de régions à accès restreint ou à haut risque peuvent être automatiquement bloqués. 
• Extraction d'archives et numérisation du contenu : Décompresse entièrement les fichiers compressés avant de les transférer. Cela permet d'exposer les logiciels malveillants cachés dans les archives imbriquées, tels que les exploits PowerShell. Pour en savoir plus sur les fichiers archivés et la menace qu'ils représentent , cliquez ici. 

Il est nécessaire d'aller au-delà de l'analyse statique pour se défendre contre les menaces avancées et inconnues. MetaDefender MFT applique une analyse multi-moteurs et neutralise les risques au niveau du contenu. 

• Metascan™ Multiscanning avec plus de 30 moteurs : Analyse simultanément chaque fichier avec plusieurs moteurs antivirus et de détection des menaces. Les logiciels malveillants et les fichiers de type webshell sont bloqués avant leur exécution. Pour en savoir plus sur le Multiscanning , cliquez ici. 
• Deep CDR™ (Content Disarm & Reconstruction) : Reconstruit les fichiers en supprimant les éléments actifs ou exécutables. Des versions propres et sûres des fichiers sont livrées tandis que les menaces cachées sont neutralisées. Découvrez comment Deep CDR régénère les fichiers ici. 
• File-Based Vulnerability Assessment: Analyse les fichiers pour y déceler les vulnérabilités connues qui pourraient être exploitées ultérieurement. Cette méthode permet d'identifier les types de documents qui peuvent être utilisés à des fins militaires avant leur exécution.