Risque(s)
- Exécution de code arbitraire à distance
- Atteinte à la confidentialité des données
Systèmes affectés
[Mise à jour du 06 janvier 2021]
- Plateforme Orion de SolarWinds versions antérieures à 2019.4 HF 6 et 2020.2.1 HF 2
Important : le code malveillant SUNBURST n'est présent que dans les versions citées ci-dessous, cependant l'éditeur considère que la vulnérabilité CVE-2020-10148 [12][13] permettant notamment l'installation du webshell SUPERNOVA est présente dans toutes les versions antérieures.
[Mise à jour du 17 décembre 2020]
- Plateforme Orion de SolarWinds versions 2019.4 HF 5 à 2020 2.1 HF 1
Résumé
Le 17 décembre, Palo Alto a publié un rapport [6] dans lequel ils indiquent qu’un webshell a été identifié dans une autre bibliothèque présente dans le serveur Web de la solution Orion. Ce webshell, dénommé SUPERNOVA, a la particularité de ne pas requérir la transmission d’un code exécutable par l’attaquant mais un code source en .NET qui sera exécuté en mémoire sur le serveur sans laisser de traces sur le disque.
Solution
Le CERT-FR recommande fortement :
- de vérifier si la version utilisée est affectée. Si c'est le cas, l'éditeur recommande de déconnecter les serveurs et considérer que le système d'information a pu être compromis dans son ensemble. En effet, il s'agit ici d'un logiciel légitime contenant une porte dérobée malveillante.
- de réaliser, dans la mesure du possible, une image des disques et de la mémoire des serveurs hébergeant le produit Orion, cela à titre conservatoire pour recherche postérieure.
- de prendre connaissance des marqueurs tenus à jour par l’US-CERT concernant SUNBURST [8].
- de prendre connaissance des marqueurs concernant SUPERNOVA [6].
- d’inventorier toutes les machines supervisées par SolarWinds Orion afin de les analyser en priorité.
- de procéder à des recherches de compromissions au sein du système d'information en privilégiant les marqueurs réseau puis les indicateurs de compromission ‘système’. Microsoft a notamment centralisé la documentation sur les aspects techniques liés à cette compromission [9].
- de contrôler les potentielles modifications au niveau des annuaires Active Directory et notamment l’ajout de privilèges élevés à des comptes [10] ou l’ajout d’approbations entre domaines ou forêts [11].
- de contrôler l’utilisation anormale de jetons SAML notamment avec les plates-formes Office365/Azure AD.
- de mettre à jour la solution Orion vers la version 2020.2.1 HF2 ou à défaut vers la version 2019.4 HF 6
Pour rappel, le CERT-FR a publié un guide à suivre en cas d’intrusion [5].
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Documentation
- [1] Papier de recherche de FireEye
https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html - [2] Avis de sécurité de l'éditeur
https://www.solarwinds.com/securityadvisory - [3] Signature de détection proposée par FireEye
https://github.com/fireeye/sunburst_countermeasures - [4] Article de MSRC
https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/ - [5] Les bons réflexes en cas d’intrusion sur un système d’information
https://www.cert.ssi.gouv.fr/information/CERTA-2002-INF-002/ - [6] Rapport Palo Alto
https://unit42.paloaltonetworks.com/solarstorm-supernova/ - [7] Rapport Microsoft du 18 décembre 2020
https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect/ - [8] Alerte US-CERT et liste des marqueurs
https://us-cert.cisa.gov/ncas/alerts/aa20-352a - [9] Référence documentaire Microsoft
https://msrc-blog.microsoft.com/2020/12/21/december-21st-2020-solorigate-resource-center/ - [10] Outil de détection Microsoft
https://github.com/Azure/Azure-Sentinel/blob/master/Detections/SigninLogs/AzureAADPowerShellAnomaly.yaml - [11] Outil de détection Microsoft
https://github.com/Azure/Azure-Sentinel/blob/master/Detections/AuditLogs/ADFSDomainTrustMods.yaml - [12] CVE-2020-10148
https://www.cve.org/CVERecord?id=CVE-2020-10148 - [13] avis CERT-FR CERTFR-2020-AVI-845 du 28 décembre 2020
https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-845/