Version:
1.0
Logiciels concernés:
Orion de SolarWinds
Type d'attque:
Chaîne d'approvisionnement
Datum:
2020-12-14
Objectif
L'objectif de cette alerte est de mettre en garde les clients de SolarWinds, qui utilisent le logiciel Orion, à propos d’un risque de sécurité potentiel planant sur leur organisation en raison d'une compromission chez SolarWinds.
Cette alerte vise à clarifier le risque encouru et à munir les administrateurs systèmes des outils et conseils nécessaires afin de déceler et de mitiger ce risque potentiel.
Comme il s'agit d'un incident en cours, des informations complémentaires pourraient se révéler disponibles dans le futur. Nous invitons donc les administrateurs systèmes à suivre de près cette alerte.
Résumé
Le fournisseur américain de logiciels SolarWinds a récemment été victime d'une faille de sécurité, qui l'a amené à envoyer des versions compromises de son logiciel Orion. Cette version compromise a été à l'origine de brèches de sécurité chez plusieurs cibles de grande valeur. Ces brèches ont également été l’élément déclencheur dans la détection de la faille de sécurité chez SolarWinds. Ce type d'attaque, que l’on pourrait qualifier d’« attaque via la chaîne d'approvisionnement » (« supply-chain attack »), peut avoir de graves répercussions.
La faille dans la chaîne d'approvisionnement chez SolarWinds remonte peut-être déjà au printemps 2020. Elle n'a toutefois été détectée que le 13 décembre, après le signalement d’une faille émis par le ministère américain du Trésor et le ministère américain du Commerce. Après analyse, plusieurs versions du logiciel Orion se sont révélées malveillantes, notamment des versions publiées entre mars et mai.
Reuters1 dresse un aperçu général de cette faille, tandis que FireEye2 présente une analyse plus poussée sur le plan technique.
Détails techniques
À la suite d’une compromission chez SolarWinds, nombre de ses clients, peut-être des milliers, ont installé des versions compromises de leur logiciel Orion. Cette version malveillante étant signée numériquement, rien ne laisse présager des actions malveillantes. Après être restée dormante pendant deux semaines, la porte dérobée « SunBurst » - également appelée « Solorigate » - devient active et donne un accès administrateur complet à l’acteur malveillant. Le malware dissimule son propre trafic sous le nom de protocole « Orion Improvement Program » et utilise des plugins légitimes pour stocker des données de reconnaissance, ce qui rend ses actions difficiles à détecter.
Lorsque le malware tente d'établir une connexion avec l'acteur malveillant, il le fait en essayant de résoudre avsvmcloud[.]com. Cela lui fournis ses instructions commande et de contrôle (C2) à distance via l'enregistrement CNAME. La communication avec le serveur C2 est conçue de manière à ressembler à la communication de l'API de SolarWinds, la camouflant ainsi encore davantage dans le trafic légitime.
Risques
L'exécution d'une version compromise du logiciel Orion de SolarWinds peut fournir à un acteur malveillant un accès complet à l'appareil et aux informations qui y sont stockées. Elle permet également de recueillir les informations d'identification d’utilisateurs privilégiés et risque de servir de point d’entrée dans votre réseau pour attaquer d'autres appareils. Si le logiciel malveillant est capable de mettre la main sur des certificats de signature SAML, il peut être en mesure de fabriquer des tokens SAML pour les comptes Azure Active Directory, même les plus privilégiés.
Fournisseurs concernés et mitigations temporaires
Le logiciel concerné est Orion, de SolarWinds. En raison des nombreux facteurs non identifiés, on ne sait pas encore distinguer les versions malveillantes des versions légitimes. SolarWinds a publié des instructions de mitigation et de renforcement sur son site Internet3.
Le blog technique du fournisseur en cybersécurité FireEye2 décrit plusieurs indicateurs de compromis (IOC) qui pourraient s’avérer utiles. La communauté de la cybersécurité a également joint ses forces pour produire une série de contre-mesures et de moyens de détecter les instances malveillantes. Celles-ci sont documentées dans le dépôt Github « SunBurst Countermeasures »4 de FireEye/Mandiant.
Comme il s'agit d'un incident en cours, nous conseillons vivement aux administrateurs systèmes utilisant le logiciel Orion de SolarWinds de suivre la situation de près.
Sources
[1] https://www.reuters.com/article/us-usa-cyber-amazon-com-exclsuive/exclus...
[2] https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-le...
[3] https://www.solarwinds.com/securityadvisory
[4] https://github.com/fireeye/sunburst_countermeasures
Extra Sources
https://us-cert.cisa.gov/ncas/alerts/aa20-352a
https://blogs.microsoft.com/on-the-issues/2020/12/13/customers-protect-n...