Shopping cart

Magazines cover a wide array subjects, including but not limited to fashion, lifestyle, health, politics, business, Entertainment, sports, science,

Breaking news :
Rapport d’attribution : Exploitation CVE-2025-10035 par Storm-1175
Rapport d’incident : Utilisation malveillante de ChatGPT par des acteurs étatiques
Rapport de menace : Malware auto-propagateur SORVEPOTEL

Rapport d’attribution : Exploitation CVE-2025-10035 par Storm-1175

Résumé exécutif

Microsoft a formellement attribué l’exploitation d’une vulnérabilité critique dans le logiciel GoAnywhere de Fortra au groupe cybercriminel Storm-1175. Cette campagne d’attaque, active depuis au moins le 11 septembre 2025, exploite la faille CVE-2025-10035 pour déployer le ransomware Medusa dans les environnements compromis. La vulnérabilité, notée au score maximal CVSS de 10.0, représente une menace critique pour les organisations utilisant des solutions de transfert de fichiers managés.

Analyse de la vulnérabilité CVE-2025-10035

Caractéristiques techniques

Identifiant : CVE-2025-10035
Score CVSS : 10.0 (Critique)
Type : Vulnérabilité de désérialisation menant à l’injection de commandes
Authentification requise : Aucune
Logiciel affecté : Fortra GoAnywhere Managed File Transfer (MFT)

Mécanisme d’exploitation

La vulnérabilité réside dans un défaut de désérialisation critique permettant à un acteur de menace possédant une signature de réponse de licence valide forgée de désérialiser un objet arbitraire contrôlé par l’attaquant. Ce processus peut conduire à :

  1. Injection de commandes : Exécution de commandes arbitraires sur le système cible
  2. Exécution de code à distance (RCE) : Contrôle complet du système sans authentification préalable
  3. Contournement des mécanismes de sécurité : Exploitation sans interaction utilisateur

Versions corrigées

Fortra a publié des correctifs dans les versions suivantes :

  • Version 7.8.4 (branche principale)
  • Sustain Release 7.6.3 (branche de support étendu)

Toutes les versions antérieures demeurent vulnérables et exploitables.

Attribution de l’acteur de menace : Storm-1175

Profil opérationnel

Identifiant Microsoft : Storm-1175
Classification : Groupe cybercriminel
Spécialisation : Déploiement de ransomware Medusa
Vecteur d’accès initial privilégié : Exploitation d’applications exposées publiquement
Période d’activité documentée : Depuis le 11 septembre 2025

Tactiques, techniques et procédures (TTP)

Storm-1175 se distingue par une approche méthodique combinant exploitation de vulnérabilités critiques et déploiement rapide de ransomware, avec une préférence marquée pour les solutions de transfert de fichiers managés comme cibles prioritaires.

Chronologie de l’exploitation

Ligne du temps confirmée

10 septembre 2025 : Premiers indicateurs d’exploitation active de CVE-2025-10035 identifiés par watchTowr
11 septembre 2025 : Début documenté des activités de Storm-1175 exploitant systématiquement la vulnérabilité
Septembre 2025 : Campagne d’exploitation soutenue visant les installations GoAnywhere MFT
6 octobre 2025 : Attribution publique formelle par Microsoft

Période d’exposition critique

Les organisations utilisant GoAnywhere MFT ont été exposées pendant au moins 26 jours entre l’exploitation initiale et l’attribution publique, offrant aux attaquants une fenêtre d’opportunité étendue pour compromettre des environnements vulnérables.

Chaîne d’attaque détaillée

Phase 1 : Accès initial et exploitation

Vecteur d’entrée : Exploitation de CVE-2025-10035 sur instances GoAnywhere MFT exposées publiquement

Capacités post-exploitation :

  • Découverte du système et des utilisateurs
  • Établissement d’un accès persistant à long terme
  • Déploiement d’outils supplémentaires pour progression de l’attaque

Phase 2 : Établissement de la persistance

Les acteurs de menace déploient immédiatement des outils de gestion et de surveillance à distance (RMM) pour assurer un contrôle durable sur les systèmes compromis.

Outils RMM déployés :

  1. SimpleHelp : Solution RMM légitime détournée pour accès distant
  2. MeshAgent : Agent de gestion à distance open-source utilisé pour maintien de présence

Indicateurs de compromission associés :

  • Création de fichiers .jsp dans les répertoires GoAnywhere MFT
  • Dépôt synchronisé des outils RMM et des fichiers JSP malveillants
  • Présence d’artefacts de déploiement dans les logs système

Phase 3 : Reconnaissance et découverte

Après établissement de la persistance, Storm-1175 exécute une phase de reconnaissance systématique :

Commandes de découverte :

  • Énumération des utilisateurs : Identification des comptes privilégiés et administratifs
  • Cartographie réseau : Analyse de la topologie et identification des systèmes critiques
  • Inventaire système : Collecte d’informations sur les configurations et vulnérabilités

Phase 4 : Mouvement latéral

Outil principal : mstsc.exe (Windows Remote Desktop Connection)

Les acteurs exploitent le protocole RDP natif Windows pour :

  • Se déplacer latéralement à travers l’infrastructure réseau
  • Accéder aux systèmes à haute valeur ajoutée
  • Étendre le périmètre de compromission

Phase 5 : Infrastructure de commande et contrôle

Architecture C2 :

  • Outils RMM : Utilisation de SimpleHelp et MeshAgent pour communications bidirectionnelles
  • Tunnel Cloudflare : Chiffrement et obfuscation des communications C2 pour échapper à la détection
  • Résilience : Multiples canaux de communication pour maintenir l’accès même en cas de blocage partiel

Phase 6 : Exfiltration de données

Outil d’exfiltration : Rclone

Microsoft a observé l’utilisation de Rclone dans au moins un environnement victime pour :

  • Synchronisation de données sensibles vers infrastructure contrôlée par l’attaquant
  • Transfert de volumes importants de données
  • Préparation de la double extortion (publication de données si rançon non payée)

Phase 7 : Déploiement du ransomware

Charge utile finale : Medusa Ransomware

Après exfiltration des données critiques, Storm-1175 déploie le ransomware Medusa pour :

  • Chiffrement systématique des données
  • Interruption des opérations commerciales
  • Maximisation de la pression pour paiement de rançon

Analyse des capacités de l’adversaire

Sophistication technique

Storm-1175 démontre un niveau de sophistication opérationnelle significatif :

  1. Exploitation rapide : Capacité à identifier et exploiter des vulnérabilités zero-day ou récemment divulguées
  2. Méthodologie éprouvée : Chaîne d’attaque structurée et reproductible
  3. Outils légitimes détournés : Usage d’outils RMM commerciaux pour éviter la détection
  4. Infrastructure résiliente : Utilisation de Cloudflare pour obscurcir les communications

Objectifs opérationnels

  1. Monétisation directe : Extorsion via ransomware
  2. Double extortion : Menace de publication de données exfiltrées
  3. Rapidité d’exécution : Minimisation du temps entre compromission initiale et chiffrement

Controverse entourant la réponse de Fortra

Critiques de watchTowr

Benjamin Harris, PDG et fondateur de watchTowr, a émis des critiques sévères concernant la gestion de l’incident par Fortra :

“Les organisations utilisant GoAnywhere MFT ont effectivement été sous assaut silencieux depuis au moins le 11 septembre, avec peu de clarté de la part de Fortra. La confirmation de Microsoft dessine maintenant un tableau assez déplaisant — exploitation, attribution, et un mois d’avance pour les attaquants.”

Questions sans réponse

Plusieurs interrogations critiques demeurent sans réponse de la part de Fortra :

  1. Compromission des clés privées : Comment les acteurs de menace ont-ils obtenu les clés privées nécessaires pour forger des signatures de licence valides ?
  2. Délai de divulgation : Pourquoi les organisations ont-elles été maintenues dans l’ignorance pendant une période aussi prolongée ?
  3. Transparence insuffisante : Absence de communication proactive sur l’exploitation active
  4. Timeline de découverte : Quand Fortra a-t-il pris connaissance de l’exploitation active ?

Appel à la transparence

La communauté de cybersécurité exige que Fortra fournisse :

  • Un compte-rendu détaillé du mécanisme de compromission des clés
  • Une timeline précise de la découverte et de la réponse
  • Des indicateurs de compromission spécifiques pour permettre aux clients d’évaluer leur exposition
  • Des recommandations forensiques pour déterminer si une exploitation a eu lieu

Implications pour les organisations

Risques immédiats

Pour les organisations non patchées :

  • Compromission hautement probable si instance exposée publiquement
  • Risque de chiffrement ransomware et interruption d’activité
  • Exposition potentielle de données sensibles
  • Implications réglementaires et de conformité

Pour les organisations récemment patchées :

  • Possibilité de compromission antérieure au correctif
  • Nécessité d’investigation forensique approfondie
  • Persistance potentielle d’accès malveillant malgré le patch

Secteurs particulièrement à risque

Les solutions de transfert de fichiers managés sont critiques dans plusieurs secteurs :

  • Institutions financières
  • Secteur de la santé
  • Industrie manufacturière
  • Organisations gouvernementales
  • Entreprises de services professionnels

Recommandations de sécurité

Actions immédiates (Priorité critique)

  1. Application des correctifs :
    • Mise à jour immédiate vers GoAnywhere MFT 7.8.4 ou Sustain Release 7.6.3
    • Vérification de la version déployée sur tous les systèmes
    • Priorisation absolue si instance exposée à Internet
  2. Investigation forensique :
    • Analyse des logs système depuis le 10 septembre 2025
    • Recherche de fichiers .jsp suspects dans répertoires GoAnywhere
    • Identification d’outils RMM non autorisés (SimpleHelp, MeshAgent)
    • Analyse des connexions RDP inhabituelles
    • Détection d’activité Rclone non justifiée
  3. Isolation préventive :
    • Déconnexion temporaire des instances non patchées
    • Segmentation réseau stricte pour limiter mouvement latéral
    • Révocation des sessions actives suspectes

Détection et surveillance

Indicateurs de compromission à surveiller :

Fichiers et processus :

  • Présence de SimpleHelp ou MeshAgent non autorisés
  • Fichiers .jsp créés récemment dans répertoires GoAnywhere
  • Processus rclone.exe avec trafic externe inhabituel
  • Activité mstsc.exe depuis comptes de service ou heures non standard

Activités réseau :

  • Connexions sortantes vers infrastructure Cloudflare suspecte
  • Trafic RDP latéral inhabituel
  • Transferts de données volumineux vers destinations externes
  • Communications avec serveurs C2 connus de Medusa

Activités système :

  • Commandes de découverte utilisateur/réseau/système inhabituelles
  • Modification des configurations de démarrage automatique
  • Création de comptes administratifs non autorisés
  • Désactivation de solutions de sécurité

Stratégies de défense en profondeur

  1. Réduction de la surface d’attaque :
    • Limitation de l’exposition Internet des applications MFT
    • Implémentation de contrôles d’accès basés sur IP/géolocalisation
    • Déploiement d’authentification multifactorielle (MFA) pour tous les accès
  2. Détection et réponse :
    • Surveillance continue des indicateurs de compromission
    • Alertes sur déploiement d’outils RMM non autorisés
    • Détection comportementale des patterns de ransomware
  3. Préparation à l’incident :
    • Sauvegardes hors ligne et testées régulièrement
    • Procédures de réponse aux incidents ransomware documentées
    • Équipes de réponse formées et disponibles
    • Plans de continuité d’activité validés

Mesures à long terme

  1. Gestion des vulnérabilités :
    • Programme de patch management proactif
    • Surveillance des avis de sécurité fournisseurs
    • Tests de pénétration réguliers sur applications critiques
  2. Architecture de sécurité :
    • Principe du moindre privilège systématiquement appliqué
    • Segmentation réseau stricte (modèle Zero Trust)
    • Chiffrement des données au repos et en transit
  3. Gouvernance et conformité :
    • Évaluation régulière des risques tiers
    • Audits de sécurité des solutions critiques
    • Exigences contractuelles de transparence avec fournisseurs

Perspectives sur l’écosystème des menaces

Tendances émergentes

  1. Ciblage des solutions de transfert de fichiers : Les plateformes MFT continuent d’être des cibles privilégiées en raison de leur position centrale dans les flux de données sensibles
  2. Exploitation rapide de vulnérabilités critiques : Le délai entre divulgation et exploitation diminue constamment, exigeant des cycles de patch accélérés
  3. Professionnalisation du ransomware : Les groupes comme Storm-1175 opèrent avec des méthodologies structurées et reproductibles
  4. Double et triple extorsion : L’exfiltration systématique de données amplifie la pression sur les victimes

Leçons pour l’industrie

  1. Transparence critique : Les fournisseurs doivent communiquer rapidement et clairement sur les exploitations actives
  2. Responsabilité partagée : La sécurité des applications critiques nécessite collaboration entre fournisseurs et clients
  3. Résilience opérationnelle : Les organisations doivent présumer la compromission et architecturer en conséquence

Conclusion

L’exploitation de CVE-2025-10035 par Storm-1175 illustre la convergence de plusieurs facteurs de risque : une vulnérabilité critique parfaitement exploitable, un retard dans la communication publique, et un adversaire sophistiqué exploitant méthodiquement la fenêtre d’opportunité. Le score CVSS maximal de 10.0 reflète justement la criticité de cette faille permettant une compromission complète sans authentification.

La controverse entourant la réponse de Fortra souligne l’importance cruciale de la transparence dans la gestion des incidents de sécurité. Les clients d’applications critiques doivent pouvoir évaluer rapidement leur exposition et prendre des décisions éclairées concernant les mesures de remédiation et d’investigation.

Pour les organisations utilisant GoAnywhere MFT ou des solutions similaires, cette campagne constitue un rappel impératif de l’importance d’une posture de sécurité proactive combinant patch management rigoureux, surveillance continue, et capacités de réponse aux incidents éprouvées. La présomption de compromission pour toute instance non patchée exposée depuis début septembre doit guider les priorités d’investigation forensique.

Rapport établi sur la base des informations publiées par Microsoft Threat Intelligence et des analyses de watchTowr concernant l’exploitation active de CVE-2025-10035.

cybersecurite.com
Powered by  GDPR Cookie Compliance
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.