Risque(s)
- Exécution de code arbitraire à distance
- Atteinte à la confidentialité des données
Systèmes affectés
[Mise à jour du 06 janvier 2021]
- Plateforme Orion de SolarWinds versions antérieures à 2019.4 HF 6 et 2020.2.1 HF 2
Important : le code malveillant SUNBURST n'est présent que dans les versions citées ci-dessous, cependant l'éditeur considère que la vulnérabilité CVE-2020-10148 [12][13] permettant notamment l'installation du webshell SUPERNOVA est présente dans toutes les versions antérieures.
[Mise à jour du 17 décembre 2020]
- Plateforme Orion de SolarWinds versions 2019.4 HF 5 à 2020 2.1 HF 1
Résumé
[Mise à jour du 28 décembre 2020]
Le 27 décembre 2020, l'avis SolarWinds a été mis à jour pour apporter des précisions sur SUPERNOVA, un "code encoquillé" (webshell) déposé et exécuté via l'exploitation d'une vulnérabilité corrigée dans les dernières versions d'Orion.
[Mise à jour du 23 décembre 2020]
Le 17 décembre, Palo Alto a publié un rapport [6] dans lequel ils indiquent qu’un webshell a été identifié dans une autre bibliothèque présente dans le serveur Web de la solution Orion. Ce webshell, dénommé SUPERNOVA, a la particularité de ne pas requérir la transmission d’un code exécutable par l’attaquant mais un code source en .NET qui sera exécuté en mémoire sur le serveur sans laisser de traces sur le disque.
[Version initiale]
Le 8 décembre 2020, FireEye a annoncé avoir découvert une campagne d'intrusion par le biais d'une compromission de mise à jour de la plateforme de gestion et de supervision Orion de SolarWinds. Cette plate-forme a servi de vecteur pour une attaque par la chaîne d'approvisionnement (supply chain attack). Les mises à jour ont été altérées afin d'inclure un maliciel appelé SUNBURST [1]. Le code malveillant permet à l'attaquant d'exécuter du code à distance et d'exfiltrer des données.
L'éditeur confirme que certaines versions de son produit ont été altérées et a publié un avis afin de fournir toutes les informations pour que les utilisateurs puissent sécuriser leurs installations [2].
D'après FireEye, la campagne aurait commencé au printemps 2020 et continuerait actuellement. FireEye a mis à disposition des signatures de détection (cf [3]) pour ce maliciel.
Solution
[Version du 06 janvier 2021 - mise à jour de la recommandation sur la version logicielle à privilégier]
Le CERT-FR recommande fortement :
- de vérifier si la version utilisée est affectée. Si c'est le cas, l'éditeur recommande de déconnecter les serveurs et considérer que le système d'information a pu être compromis dans son ensemble. En effet, il s'agit ici d'un logiciel légitime contenant une porte dérobée malveillante.
- de réaliser, dans la mesure du possible, une image des disques et de la mémoire des serveurs hébergeant le produit Orion, cela à titre conservatoire pour recherche postérieure.
- de prendre connaissance des marqueurs tenus à jour par l’US-CERT concernant SUNBURST [8].
- de prendre connaissance des marqueurs concernant SUPERNOVA [6].
- d’inventorier toutes les machines supervisées par SolarWinds Orion afin de les analyser en priorité.
- de procéder à des recherches de compromissions au sein du système d'information en privilégiant les marqueurs réseau puis les indicateurs de compromission ‘système’. Microsoft a notamment centralisé la documentation sur les aspects techniques liés à cette compromission [9].
- de contrôler les potentielles modifications au niveau des annuaires Active Directory et notamment l’ajout de privilèges élevés à des comptes [10] ou l’ajout d’approbations entre domaines ou forêts [11].
- de contrôler l’utilisation anormale de jetons SAML notamment avec les plates-formes Office365/Azure AD.
- de mettre à jour la solution Orion vers la version 2020.2.1 HF2 ou à défaut vers la version 2019.4 HF 6
Pour rappel, le CERT-FR a publié un guide à suivre en cas d’intrusion [5].
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Documentation