Le malware SUNBURST est déployé via des mises à jour d'Orion (SolarWinds)

Publié le : 18/01/2021
Mis à jour le : 19/01/2021

FireEye lance un outil d'audit des réseaux pour identifier les techniques utilisées par les pirates de SolarWinds

Des spécialistes de la sécurité informatique ont noté depuis Mars 2020 des attaques informatiques visant des agences gouvernementales, des infrastructures critiques, des entreprises privées par des APTs (Advanced Persistent Threats) en exploitant une vulnérabilité appelée « Sunburst » insérée secrètement dans la chaîne d'approvisionnement d'une bibliothèque de liens dynamiques (DLL) de la plateforme Orion de SolarWinds. En fait, les attaquants ont réussi à distribuer des maliciels en dissimulant un cheval de Troie dans les mises à jour logicielles de la plateforme Orion de SolarWinds.

Orion est une plateforme logicielle de surveillance et de gestion centralisée, généralement utilisée dans les grands réseaux pour garder une trace de toutes les ressources informatiques, comme les serveurs, les postes de travail, les mobiles et les objets connectés.

Cette vulnérabilité est en cours d’exploitation et concerne les produits ci-dessous :

  • Orion Platform 2019.4 HF5, version 2019.4.5200.9083
  • Orion Platform 2020.2 RC1, version 2020.2.100.12219
  • Orion Platform 2020.2 RC2, version 2020.2.5200.12394
  • Orion Platform 2020.2, 2020.2 HF1, version 2020.2.5300.12432

Le CI-CERT invite les gestionnaires de la sécurité des systèmes d’information à appliquer immédiatement les mesures ci-dessous :

Étape 1 :

  • Faire la copie de la mémoire du système et/ou des systèmes d'exploitation des hôtes hébergeant toutes les instances des versions affectées de SolarWinds Orion. Analyser les nouveaux comptes d'utilisateurs ou de services, avec de hauts privilèges ou non.
  • Analyser le trafic réseau à la recherche d'indicateurs de compromission, y compris de nouveaux domaines DNS externes auxquels quelques hôtes (par exemple, les systèmes SolarWinds) ont été connectés

Étape 2

  • Les organisations concernées doivent immédiatement déconnecter ou mettre hors tension toutes les instances des versions concernées de SolarWinds Orion de leur réseau.
  • Par ailleurs :
  • Bloquer tout trafic vers et depuis l'hôte, externe à l'entreprise, où toute version du logiciel SolarWinds Orion a été installée.
  • Identifier et supprimer tous les comptes contrôlés par les attaquants.

Étape 3

  • Uniquement après que tous les mécanismes connus de l’attaquant ont été supprimés :
  • Traitez tous les hôtes surveillés par le logiciel de surveillance SolarWinds Orion comme compromis par les acteurs de la menace et supposez que l'acteur de la menace a déployé des mécanismes de persistance supplémentaires
  • Reconstruire les hôtes surveillés par le logiciel de surveillance SolarWinds Orion a utilisé des sources fiables

Références

[1] Bulletin de sécurité de SolarWinds
https://www.solarwinds.com/securityadvisory (en anglais)

[2] Billet de blogue intitulé Highly Evasive Attacker Leverages SolarWinds Supply Chain
https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html (en anglais)

[3] Contremesures SunBurst
https://github.com/fireeye/sunburst_countermeasures (en anglais)

[4] Page Web Determine which version of a SolarWinds Orion product I have installed
https://support.solarwinds.com/SuccessCenter/s/article/Determine-which-version-of-a-SolarWinds-Orion-product-I-have-installed?language=en_US (en anglais)

[5] Page Web Verify hotfixes that have been installed
https://support.solarwinds.com/SuccessCenter/s/article/Verify-hotfixes-that-have-been-installed?language=en_US  (en anglais)

[6] Secure Configuration for the Orion Platform
https://www.solarwinds.com/-/media/solarwinds/swdcv2/landing-pages/trust-center/resources/secure-configuration-in-the-orion-platform.ashx?rev=32603e0c87d84085b081f99a33fe5f4d&hash=62A998B9753957D82BC0F07005D38368 (en anglais)

[7] Customer Guidance on Recent Nation-State Cyber Attacks
https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/ (en anglais)

S'ABONNER À NOTRE NEWSLETTER

18 BP 2203 Abidjan 18 – Côte d’Ivoire
Téléphone : +225 27 20 34 42 63 
Fax : +225 27 20 34 43 75
Marcory Anoumanbo, Abidjan – Côte d’Ivoire

 

 

PARTENAIRES