ALERTE : code malveillant dans SolarWinds Orion (14.12.20)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : code malveillant dans SolarWinds Orion (14.12.20)

Messagede pierre » 15 Déc 2020, 12:37

ALERTE : code malveillant dans SolarWinds Orion (14.12.20)


Risque(s)
Exécution de code arbitraire à distance
Atteinte à la confidentialité des données

Systèmes affectés
Plateforme Orion de SolarWinds versions 2019.4 HF 5 à 2020 2.1

Résumé
Le 13 décembre 2020, FireEye a annoncé avoir découvert une campagne d'intrusion par le biais d'une compromission de mise à jour de la plateforme de gestion et de supervision Orion de SolarWinds. Cette plate-forme a servi de vecteur pour une attaque par la chaîne d'approvisionnement (supply chain attack). Les mises à jour ont été altérées afin d'inclure un maliciel appelé SUNBURST [1]. Le code malveillant permet à l'attaquant d'exécuter du code à distance et d'exfiltrer des données.

L'éditeur confirme que certaines versions de son produit ont été altérées et a publié un avis afin de fournir toutes les informations pour que les utilisateurs puissent sécuriser leurs installations [2].

D'après FireEye, la campagne aurait commencé au printemps 2020 et continuerait actuellement. FireEye a mis à disposition des signatures de détection (cf [3]) pour ce maliciel.

Solution
Le CERT-FR recommande donc fortement :

  • de vérifier si la version utilisée est affectée. Si c'est le cas, l'éditeur recommande de déconnecter les serveurs et considérer que le système d'information a pû être compromis. En effet, il s'agit ici d'un logiciel légitime contenant une porte dérobée malveillante.

  • de prendre connaissance des marqueurs proposés par FireEye [3] et Microsoft [4], puis de procéder à des recherches d'éventuelles compromissions au sein de votre système d'information [5]. Les marqueurs fournis par FireEye sont en cours de qualification par le CERT-FR, toutefois rien ne permet d'affirmer que les marqueurs diffusés en source ouverte sont exhaustifs.

  • de mettre à jour la plateforme Orion en version 2020.2.1 HF1 en attendant la version 2020.2.1 HF2 prévue pour le mardi 15 décembre 2020.


La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Documentation
[1] Papier de recherche de FireEye
https://www.fireeye.com/blog/threat-res ... kdoor.html

[2] Avis de sécurité de l'éditeur
https://www.solarwinds.com/securityadvisory

[3] Signature de détection proposée par FireEye
https://github.com/fireeye/sunburst_countermeasures

[4] Article de MSRC
https://msrc-blog.microsoft.com/2020/12 ... r-attacks/

[5] Les bons réflexes en cas d’intrusion sur un système d’information
https://www.cert.ssi.gouv.fr/informatio ... 2-INF-002/





Historique des alertes et avis sur SolarWinds Orion
Historique des alertes et avis sur SolarWinds Orion
Historique des alertes et avis sur tous les produits SolarWinds
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 28466
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 50 invités

cron