SolarWinds : les autorités américaines continuent leurs mises en garde

Spread the love
  • Yum

 SolarWinds : les autorités américaines continuent leurs mises en garde

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a mis à jour ses directives officielles face aux retombées de l’attaque ayant visé SolarWinds.

Dans une mise à jour publiée mardi soir, la CISA a déclaré que toutes les agences gouvernementales américaines qui exploitent encore des plates-formes SolarWinds Orion doivent mettre à jour vers la dernière version 2020.2.1HF2 d’ici la fin de l’année.

publicité

Les agences qui ne peuvent pas mettre à jour leurs systèmes avant cette date doivent mettre tous les systèmes Orion hors ligne, conformément aux directives initiales de la CISA, publiées le 18 décembre.

L’évolution des recommandations intervient après que des chercheurs en sécurité aient découvert une nouvelle vulnérabilité majeure dans l’application SolarWinds Orion pendant les vacances de Noël.

Identifiée sous le nom de CVE-2020-10148, cette vulnérabilité est un contournement de l’authentification dans l’API d’Orion qui permet aux attaquants d’exécuter du code à distance sur les installations d’Orion.

Cette vulnérabilité a été exploitée par des attaquants pour installer le malware Supernova sur les serveurs où la plateforme Orion a été installée, dans des attaques distinctes de l’incident initial ayant affecté SolarWinds.

Mise à jour d’Orion vérifiée par la NSA

Dans le cadre de l’attaque initiale, des pirates informatiques se sont introduits dans le réseau interne de SolarWinds et ont modifié plusieurs versions de l’application Orion pour y ajouter des logiciels malveillants.

Toutes les mises à jour de l’application Orion, des versions 2019.4 à 2020.2.1, publiées entre mars 2020 et juin 2020, ont été contaminées par une souche de logiciel malveillant appelée Sunburst (ou Solorigate).

Ce malware aurait été installé par au moins 18 000 entreprises, selon SolarWinds. Sunburst n’était qu’un module de reconnaissance de premier niveau qui a permis aux attaquants de passer à un second niveau, où ils ont déployé une souche de logiciel malveillant appelée Teardrop.

SolarWinds a publié la version 2020.2.1HF2 le 15 décembre pour répondre à l’attaque, en affirmant que l’installation de la mise à jour supprimerait toute trace du code lié à Sunburst de leurs systèmes.

“L’Agence de sécurité nationale (NSA) a examiné cette version [2020.2.1HF2] et vérifié qu’elle élimine le code malveillant précédemment identifié”, a déclaré la CISA mardi.

Mais outre la suppression du code malveillant lié à Sunburst des appareils infectés, la CISA demande surtout aux agences gouvernementales de mettre à jour 2020.2.1HF2 pour s’assurer que les acteurs malveillants ne puissent pas exploiter d’autres bugs liés à Orion, comme la grave vulnérabilité CVE-2020-10148, pour mener de nouvelles attaques contre les agences fédérales américaines.

De nouveaux outils pour les défenseurs

Avant de publier cette mise à jour, la CISA a également publié un outil gratuit destiné aux experts en informatique et en sécurité travaillant sur la réponse aux incidents (RI) des attaques liées à SolarWinds.

Cet outil, un script PowerShell, permet de détecter les comptes et applications éventuellement compromis dans un environnement Azure ou Microsoft 365.

Dans un rapport publié mardi, Microsoft a déclaré que l’objectif des attaquants de SolarWinds était de pénétrer dans les réseaux des entreprises par le biais de la mise à jour de l’application Orion, mais aussi d’accéder aux réseaux locaux de leurs victimes et, enfin, aux environnements cloud des victimes, où la plupart des données sensibles étaient hébergées.

CrowdStrike, qui a déclaré la semaine dernière avoir également été visé par les pirates de SolarWinds mais que l’attaque avait échoué, a également publié un outil similaire à celui publié par la CISA. Baptisé CRT, cet outil peut aider à identifier les comptes disposant de droits d’accès étendus au sein d’un réseau d’entreprise Azure AD et Office 365.

Les outils CISA et CrowdStrike sont tous deux utiles pour repérer les comptes disposant d’autorisations étendues qui ne sont pas sous le contrôle d’un administrateur.

Source : “ZDNet.com”

Leave a Reply

%d bloggers like this: