SolarWinds : quatre entreprises de cybersécurité supplémentaires affectées

Spread the love
  • Yum

SolarWinds : quatre entreprises de cybersécurité supplémentaires affectées

Comme plusieurs experts l’avaient prédit le mois dernier, les retombées de l’attaque ayant visé SolarWinds s’amplifient au fil du temps, alors que les entreprises ont eu le temps d’auditer les réseaux internes et les journaux DNS.

Cette semaine, quatre nouveaux fournisseurs de services de cybersécurité – Mimecast, Palo Alto Networks, Qualys et Fidelis – ont ajouté leur nom à la liste des entreprises qui ont installé des versions compromises de l’application SolarWinds Orion.

publicité

Piratage de Mimecast

La plus importante des annonces de cette semaine est venue de Mimecast, un fournisseur de produits de sécurité pour le courrier électronique.

Il y a deux semaines, l’entreprise a révélé une faille de sécurité majeure au cours de laquelle des pirates ont infiltré son réseau et utilisé des certificats numériques utilisés par l’un de ses produits de sécurité pour accéder aux comptes Microsoft 365 de certains de ses clients.

Dans une mise à jour de son blog aujourd’hui, Mimecast a déclaré avoir relié cet incident à une application Orion de SolarWinds installée sur son réseau.

La société a maintenant confirmé que les pirates de SolarWinds sont les mêmes que ceux qui ont utilisé de son certificat pour s’en prendre aux clients de Mimecast, l’un d’eux étant soupçonné d’être le fabricant d’antivirus Malwarebytes.

Palo Alto Networks divulgue les incidents de septembre et octobre 2020

Un autre grand fournisseur de sécurité qui s’est présenté pour annoncer un incident lié à SolarWinds est Palo Alto Networks, un fournisseur de logiciels de cybersécurité et d’équipement réseau.

S’adressant au journaliste de Forbes Thomas Brewster cette semaine, Palo Alto Networks a déclaré avoir détecté deux incidents de sécurité en septembre et octobre 2020, liés au logiciel SolarWinds.

“Notre centre d’opérations de sécurité a immédiatement isolé le serveur, lancé une enquête et vérifié que notre infrastructure était sécurisée”, a déclaré Palo Alto Networks à Forbes lundi.

Cependant, la société a déclaré qu’elle avait enquêté sur ces événements en tant qu’incidents isolés distincts et n’avait pas détecté l’attaque au sens large. Celle-ci n’a été identifiée que quelques mois plus tard lorsque les pirates informatiques ont infiltré les systèmes de FireEye, un autre fournisseur de sécurité.

Palo Alto Networks a déclaré que l’enquête sur les intrusions liées à SolarWinds de septembre et octobre n’a pas donné grand-chose et a conclu que “la tentative d’attaque a échoué et aucune donnée n’a été compromise”.

Qualys : Ce n’était qu’un système de test

Mais l’article de Forbes cite également les conclusions d’Erik Hjelmvik, fondateur de la société de sécurité réseau Netresec, qui a publié lundi un rapport détaillant 23 nouveaux domaines utilisés par les pirates de SolarWinds pour déployer des logiciels malveillants de deuxième étape dans des réseaux infectés.

Deux de ces 23 nouveaux domaines étaient “corp.qualys.com”, ce qui suggère que le géant de l’audit de cybersécurité Qualys pourrait avoir été visé par les attaquants.

Toutefois, dans une déclaration à Forbes, Qualys a déclaré que l’intrusion n’était pas aussi importante que prévu. La société explique que ses ingénieurs avaient installé une version compromise de l’application SolarWinds Orion dans un environnement de laboratoire à des fins de test, séparée de son réseau principal.

Une enquête ultérieure n’a pas trouvé de preuves d’une nouvelle activité malveillante ou d’une exfiltration de données, a déclaré Qualys.

Cependant, certains chercheurs en sécurité ne croient pas la déclaration de la société, suggérant que le domaine “corp.qualys.com” laissait penser que les pirates informatiques avaient accès à son réseau principal et non à un environnement de laboratoire, comme le prétend la société.

Fidelis révèle également un incident

La quatrième et dernière divulgation importante est venue aujourd’hui de Fidelis Cybersecurity sous la forme d’un billet de blog du RSSI de la société, Chris Kubic.

Le responsable sécurité de Fidelis a déclaré qu’ils avaient eux aussi installé une version compromise de l’application SolarWinds Orion en mai 2020 dans le cadre d’une “évaluation du logiciel”.

“L’installation du logiciel a été retracée jusqu’à une machine configurée comme un système de test, isolée de notre réseau central et rarement allumée”, a déclaré M. Kubic.

Fidelis a déclaré que malgré les efforts de l’attaquant pour obtenir l’accès au réseau interne de Fidelis, la société estime que le système de test était “suffisamment isolé et allumé trop rarement pour que l’attaquant puisse passer à l’étape suivante de l’attaque”.

Les révélations de cette semaine portent à huit le nombre total de fournisseurs de services de cybersécurité ciblés par les pirates de SolarWinds. Les précédentes révélations provenaient de FireEye (intrusion initiale qui a révélé l’attaque SolarWinds dans son ensemble), Microsoft (des intrus ont accédé à une partie du code source de l’entreprise), CrowdStrike (intrusion échouée), et Malwarebytes (les attaquants ont accédé à certains comptes de messagerie de l’entreprise).

Source : “ZDNet.com”

Leave a Reply

%d bloggers like this: