Accueil > Alertes CERT-MC > AVIS CERTFR - 2020 - ALE - 026

AVIS CERTFR - 2020 - ALE - 026

Objet : Présence de code malveillant dans SolarWinds Orion

Référence : CERTFR-2020-ALE-026

Risque(s)

- Exécution de code arbitraire à distance
- Atteinte à la confidentialité des données

Systèmes affectés

- Plateforme Orion de SolarWinds versions 2019.4 HF 5 à 2020 2.1

Résumé

Le 13 décembre 2020, FireEye a annoncé avoir découvert une campagne d'intrusion par le biais d'une compromission de mise à jour de la plateforme de gestion et de supervision Orion de SolarWinds. Cette plate-forme a servi de vecteur pour une attaque par la chaîne d'approvisionnement (supply chain attack). Les mises à jour ont été altérées afin d'inclure un maliciel appelé SUNBURST [1]. Le code malveillant permet à l'attaquant d'exécuter du code à distance et d'exfiltrer des données.
L'éditeur confirme que certaines versions de son produit ont été altérées et a publié un avis afin de fournir toutes les informations pour que les utilisateurs puissent sécuriser leurs installations [2].
D'après FireEye, la campagne aurait commencé au printemps 2020 et continuerait actuellement. FireEye a mis à disposition des signatures de détection (cf [3]) pour ce maliciel.

Solution

Le CERT-FR recommande fortement d'appliquer les dispositions suivantes :

- de vérifier si la version utilisée est affectée. Si c'est le cas, l'éditeur recommande de déconnecter les serveurs et considérer que le système d'information a pû être compromis. En effet, il s'agit ici d'un logiciel légitime contenant une porte dérobée malveillante.
- de prendre connaissance des marqueurs proposés par FireEye [3] et Microsoft [4], puis de procéder à des recherches d'éventuelles compromissions au sein de votre système d'information [5]. Les marqueurs fournis par FireEye sont en cours de qualification par le CERT-FR, toutefois rien ne permet d'affirmer que les marqueurs diffusés en source ouverte sont exhaustifs.
- de mettre à jour la plateforme Orion en version 2020.2.1 HF1 en attendant la version 2020.2.1 HF2 prévue pour le mardi 15 décembre 2020.

---------------------------------------------------------------

La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Documentation

- Papier de recherche de FireEye
https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html  
- Avis de sécurité de l'éditeur
https://www.solarwinds.com/securityadvisory  
- Signature de détection proposée par FireEye
https://github.com/fireeye/sunburst_countermeasures  
- Article de MSRC
https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/  
- [1] Les bons réflexes en cas d’intrusion sur un système d’information
https://www.cert.ssi.gouv.fr/information/CERTA-2002-INF-002/  

Dernière version de ce document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-026/  

AVIS CERTFR - 2021 - AVI - 039

18 janvier 2021
actualite

Objet : Vulnérabilité dans Juniper Junos OSRéférence : CERTFR-2021-AVI-39Risque(s)- Atteinte à la confidentialité des donnéesSystèmes affectés - Ju... Lire la suite[+]

AVIS CERTFR - 2021 - AVI - 038

15 janvier 2021
actualite

Objet : Multiples vulnérabilités dans Juniper Junos OSRéférence : CERTFR-2021-AVI-038Risque(s)- Élévation de privilègesSystèmes affectés- Junos OS... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC OIV
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2020-ALE-026