La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a révélé les détails d’une nouvelle menace persistante avancée (APT) qui exploite la porte dérobée Supernova pour compromettre les installations SolarWinds Orion après avoir accédé au réseau via une connexion à un périphérique VPN Pulse Secure.
«L’acteur de la menace connecté au réseau de l’entité via une appliance de réseau privé virtuel (VPN) Pulse Secure, s’est déplacé latéralement vers son serveur SolarWinds Orion, a installé un logiciel malveillant désigné par les chercheurs en sécurité sous le nom de SUPERNOVA (un shell Web .NET) et a collecté des informations d’identification, » l’agence mentionné jeudi.
CISA a déclaré avoir identifié l’acteur de la menace lors d’un engagement de réponse à un incident dans une organisation anonyme et a constaté que l’attaquant avait accès au réseau de l’entreprise pendant près d’un an grâce à l’utilisation des informations d’identification VPN entre mars 2020 et février 2021.
Il est intéressant de noter que l’adversaire aurait utilisé des comptes valides sur lesquels l’authentification multifacteur (MFA) était activée, plutôt qu’un exploit pour une vulnérabilité, pour se connecter au VPN, leur permettant ainsi de se faire passer pour des employés de télétravail légitimes de l’entité affectée.
En décembre 2020, Microsoft a révélé qu’un deuxième groupe d’espionnage avait peut-être abusé du logiciel Orion du fournisseur d’infrastructure informatique pour abandonner une porte dérobée persistante appelée Supernova sur les systèmes cibles. Les intrusions ont depuis été attribuées à un acteur de la menace lié à la Chine appelé Spiral.
Contrairement à Sunburst et à d’autres logiciels malveillants qui ont été connectés au compromis SolarWinds, Supernova est un shell Web .NET implémenté en modifiant un module « app_web_logoimagehandler.ashx.b6031896.dll » de l’application SolarWinds Orion. Les modifications ont été rendues possibles en exploitant une vulnérabilité de contournement d’authentification dans l’API Orion suivie comme CVE-2020-10148, permettant à son tour à un attaquant distant d’exécuter des commandes d’API non authentifiées.
Une enquête sur l’incident est en cours. En attendant, CISA recommande aux organisations de mettre en œuvre l’authentification multifacteur pour les comptes privilégiés, d’activer les pare-feu pour filtrer les demandes de connexion non sollicitées, d’appliquer des politiques de mot de passe strictes et de sécuriser le protocole RDP (Remote Desktop Protocol) et d’autres solutions d’accès à distance.
