Présence d’une porte dérobée affectant SolarWinds Orion

  • Post author:
  • Post category:Alertes et Avis

Origine: bjCSIRT

Numéro: 2020/ALERTE/018

Date de l’alerte:  15/12/2020

Aperçu de la menace

Des pirates informatiques ont exploité une faille dans le système du fournisseur de logiciels SolarWinds. Cet exploit a consisté à déployer une mise à jour du logiciel Orion, infectée par un maliciel nommé SUNBURST (par l’entreprise de cyber sécurité FireEye). Il s’agit d’une attaque qui a atteint les réseaux de plusieurs entreprises et organisations gouvernementales.

Description

SolarWinds est un éditeur de logiciel de gestion et de supervision réseau et des infrastructures informatiques (systèmes, bases de données…). Orion est une plateforme de l’éditeur permettant de centraliser la surveillance, l’analyse et la gestion de toute l’informatique d’une entreprise.
Les attaquants pourraient avoir compromis les systèmes de construction ou de distribution internes de SolarWinds, en intégrant du code malicieux de porte dérobée dans une bibliothèque légitime portant le nom de fichier « SolarWinds.Orion.Core.BusinessLayer.dll ». Ce fichier est distribué via des plates-formes ou des systèmes de mise à jour automatique dans des réseaux cibles et aurait été vu pour la première fois en Mars 2020. Les informations sur la façon dont les plateformes ont été compromises sont encore limitées.
Lors de la mise à jour de l’application SolarWinds, le code intégré se charge avant l’exécution du code légitime. Les attaquants ont compromis des bibliothèques signées qui ont utilisé les certificats légitimes des sociétés cibles, afin d’échapper aux systèmes de détection d’intrusion des applications. Ces organisations ne se sont alors doutées d’aucune présence d’activité malveillante car le programme ou l’application dépendant des bibliothèques se comportait de façon normale.

Risques

  • Exécution de code arbitraire à distance  
  • Atteinte à la confidentialité des données

Systèmes affectés:

  •  Plateforme Orion versions 2019.4 HF 5 et 2020.2 sans hotfix ou avec 2020.2 HF 1, y compris :
  •                 Moniteur centré sur l’application (ACM) 
  •                 Module d’intégration de Database Performance Analyzer (DPAIM)
  •                 Enterprise Operations Console (EOC)
  •                 Haute disponibilité (HA)
  •                 Gestionnaire d’adresses IP (IPAM)
  •                 Analyseur de journaux (LA)
  •                 Gestionnaire d’automatisation du réseau (NAM)
  •                 Gestionnaire de configuration réseau (NCM)
  •                 Gestionnaire des opérations réseau (NOM)
  •                 Moniteur de performances réseau (NPM)
  •                 Analyseur de trafic NetFlow (NTA)
  •                 Moniteur de serveur et d’application (SAM)
  •                 Moniteur de configuration de serveur (SCM)
  •                 Moniteur de ressources de stockage (SCM)
  •                 Suivi de périphérique utilisateur (UDT)
  •                 Gestionnaire de virtualisation (VMAN)
  •                 Gestionnaire de la qualité VoIP et réseau (VNQM)
  •                 Moniteur de performances Web (WPM)

Mesures à prendre

  •  Vérifier la version de la plate-forme Orion que vous utilisez.
    En attendant la version corrective passer à la version 2020.2.1 HF 1 pour les clients disposant de l’un des produits ci-dessus pour Orion Platform v2020.2 sans hotfix ou 2020.2 HF 1.
  •  Effectuer dès que possible la mise à jour vers la version corrective supplémentaire 2020.2.1 HF 2 prévue pour ce jour 15 Décembre 2020.

Liens utiles

  • https://www.solarwinds.com/securityadvisory
  • https://thehackernews.com/2020/12/us-agencies-and-fireeye-were-hacked.html
  • https://cybersecuritymag.africa/systemes-solarwinds-ont-ete-compromis
Partagez sur vos réseaux.