Solarwinds: la cyberattaque historique des Etats-unis

Solarwinds: la cyberattaque historique des Etats-unis

Le contexte :

Le récent piratage de la société SolarWind découvert par la société FireEye le 8 décembre 2020 a touché de nombreux départements du gouvernement américain ainsi que ses agences fédérales et de nombreuses entreprises présentes aux Etats-Unis, en Europe et en Asie.

De nombreuses équipes d’experts cherchent à comprendre comment cette offensive a pu se produire, et nous apprenons chaque jour de nouveaux éléments sur cette affaire :

Caractéristiques de l’attaque :

Les informations disponibles permettent d’affirmer que les pirates ont obtenu un accès en contournant l’authentification de l’API gérant la communication avec les équipements de surveillance par l’insertion de paramètres précis dans certaines requêtes adressées à un serveur, permettant l’exécution de commandes API non authentifiées.

Le système SolarWinds Orion peut en effet définir le drapeau « SkipAuthorization » à ces requêtes, les exécutant ainsi sans autorisation ! Cette vulnérabilité aurait été implantée par les hackers en attaquant son processus de fabrication, introduisant une backdoor et transformant le logiciel réputé mondialement en Cheval de Troie lors d’une mise à jour.

Cette attaque d’une ampleur rarement atteinte aurait été mise en place depuis le mois de mars par les hackers. Elle a été exposée par la société de cybersécurité FireEye.

En plus de cette attaque, Microsoft a récemment signalé qu’une deuxième compromission du système SolarWind Orion aurait pu se produire par un autre malware nommé SUPERNOVA. Celui-ci se présente sous la forme d’un shell web permettant l’entrée et l’exécution de commandes distantes par un attaquant.

Cette attaque consiste à détourner un des fichiers dll gérant le logo configuré par l’utilisateur pour obtenir un accès distant.

Ces failles ont été expliquées par SolarWinds dans son communiqué du 24 décembre, précisant que ces vulnérabilités ont pu permettre le déploiement d’un logiciel malveillant.

Lien : Security Advisory | SolarWinds

Les dégâts de ces attaques sont encore en train d’être mesurés, mais on estime déjà plus de 18 000 clients compromis, dont 450 des 500 plus grandes entreprises mondiales.

Nos conseils :

Cette attaque montre que tout le monde peut être la cible de personnes malveillantes. Afin de se prémunir contre ce genre de cyberattaque, nos experts vous recommande de :

– Paramétrer le serveur pour empêcher l’exécution de certains types d’extensions de fichiers.

– Installer un tunnel VPN et accéder aux ressources de l’entreprise uniquement par ce biais.

– Activer les systèmes de journalisation disponibles et surveiller les connexions entrantes, les actions.

– Désactiver les commandes « dangereuses » (par exemple exec(), shell_exec() et system() pour les serveurs PHP ).

– Eviter d’installer des plugins tiers ou des codes trouvés en ligne sans inspection préalable.

– Filtrer les flux réseaux pour n’autoriser que le strict nécessaire.

– Restreindre les droits utilisateurs au strict minimum, limiter au maximum les droits administrateur.

Revenez plus tard pour plus de contenu