Le fournisseur de services de surveillance du réseau SolarWinds a officiellement publié un deuxième correctif pour remédier à une vulnérabilité critique de sa plate-forme Orion qui a été exploitée pour insérer des logiciels malveillants et violer des entités publiques et privées dans une vaste campagne d’espionnage.
Dans une nouvelle mise à jour publiée sur son consultatif page, la société a exhorté ses clients à mettre immédiatement à jour Orion Platform vers la version 2020.2.1 HF 2 pour sécuriser leurs environnements.
Le logiciel malveillant, appelé SUNBURST (alias Solorigate), affecte les versions d’application Orion 2019.4 à 2020.2.1, publiées entre mars 2020 et juin 2020.
« Sur la base de notre enquête, nous ne savons pas que cette vulnérabilité affecte d’autres versions – y compris les versions futures – des produits Orion Platform », a déclaré la société.
«Nous avons scanné le code de tous nos produits logiciels à la recherche de marqueurs similaires à ceux utilisés dans l’attaque de nos produits Orion Platform identifiés ci-dessus, et nous n’avons trouvé aucune preuve que d’autres versions de nos produits Orion Platform ou de nos autres produits ou agents en contiennent Marqueurs. »
Il a également rappelé qu’aucun de ses autres outils ou agents gratuits, tels que RMM et N-central, n’a été affecté par la faille de sécurité.
Microsoft saisit le domaine utilisé dans SolarWinds Hack
Alors que des détails sur la façon dont le réseau interne de SolarWinds a été violé sont toujours attendus, Microsoft a pris hier le pas de prendre le contrôle de l’un des principaux domaines GoDaddy – avsvmcloud[.]com – qui a été utilisé par les pirates pour communiquer avec les systèmes compromis.
Le fabricant de Windows a également déclaré qu’il prévoyait de commencer à bloquer binaires malveillants connus de SolarWinds à partir d’aujourd’hui à 8h00 PST.
Pendant ce temps, le chercheur en sécurité Mubix « Rob » Fuller a publié un outil d’audit d’authentification appelé Éruption solaire qui peuvent être exécutés sur les machines Orion pour aider à identifier les comptes qui peuvent avoir été compromis lors de la violation.
« Cette attaque était très complexe et sophistiquée, » SolarWinds déclaré dans une nouvelle FAQ expliquant pourquoi il n’a pas pu détecter ce problème à l’avance. « La vulnérabilité a été conçue pour échapper à la détection et ne s’exécute que lorsque la détection était peu probable. »
Jusqu’à 18 000 entreprises touchées par une attaque SolarWinds
SolarWinds estime que jusqu’à 18 000 de ses clients peuvent avoir été touchés par l’attaque de la chaîne d’approvisionnement. Mais les indications sont que les opérateurs de la campagne ont exploité cette faille pour n’atteindre que certaines cibles de haut niveau.
Société de cybersécurité Symantec m’a dit il a identifié plus de 2 000 ordinateurs chez plus de 100 clients qui ont reçu les mises à jour logicielles détournées, mais a ajouté qu’il n’avait pas détecté d’autres effets malveillants sur ces machines.
Tout comme les retombées de la faille sont évaluées, la sécurité de SolarWinds a fait l’objet d’un examen plus approfondi.
Non seulement il semble que le site Web de téléchargement de logiciels de la société était protégé par un simple mot de passe (« solarwinds123 ») qui a été publié en clair sur le référentiel de code de SolarWinds sur Github; plusieurs cybercriminels ont tenté de vendre l’accès à ses ordinateurs sur les forums clandestins, selon Reuters.
À la suite de l’incident, SolarWinds a pris la mesure inhabituelle de supprimer le liste de clientèle à partir de son site Web.
