{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"

[Mise \u00e0 jour du 06 janvier 2021]

Important : le code malveillant SUNBURST n'est pr\u00e9sent que dans les versions cit\u00e9es ci-dessous, cependant l'\u00e9diteur consid\u00e8re que la vuln\u00e9rabilit\u00e9 CVE-2020-10148 [12][13] permettant notamment l'installation du webshell SUPERNOVA est pr\u00e9sente dans toutes les versions ant\u00e9rieures.

 

[Mise \u00e0 jour du 17 d\u00e9cembre 2020]

","closed_at":"2021-04-15","content":"## Solution\n\n
\n\n
\n\n**\\[Version du 06 janvier 2021 - mise \u00e0 jour de la recommandation sur la\nversion logicielle \u00e0 privil\u00e9gier\\]**\n\n
\n\n
\n\nLe CERT-FR recommande fortement :\n\n- de v\u00e9rifier si la version utilis\u00e9e est affect\u00e9e. Si c'est le cas,\n l'\u00e9diteur recommande de d\u00e9connecter les serveurs et consid\u00e9rer que\n le syst\u00e8me d'information a pu \u00eatre compromis dans son\n ensemble. En effet, il s'agit ici d'un logiciel l\u00e9gitime\n contenant une porte d\u00e9rob\u00e9e malveillante.\n- de r\u00e9aliser, dans la mesure du possible, une image des disques et de\n la m\u00e9moire des serveurs h\u00e9bergeant le produit Orion, cela \u00e0 titre\n conservatoire pour recherche post\u00e9rieure.\n- de prendre connaissance des marqueurs tenus \u00e0 jour par l\u2019US-CERT\n concernant SUNBURST \\[8\\].\n- de prendre connaissance des marqueurs concernant SUPERNOVA \\[6\\].\n- d\u2019inventorier toutes les machines supervis\u00e9es par SolarWinds Orion\n afin de les analyser en priorit\u00e9.\n- de proc\u00e9der \u00e0 des recherches de compromissions au sein du syst\u00e8me\n d'information en privil\u00e9giant les marqueurs r\u00e9seau puis les\n indicateurs de compromission \u2018syst\u00e8me\u2019. Microsoft a notamment\n centralis\u00e9 la documentation sur les aspects techniques li\u00e9s \u00e0 cette\n compromission \\[9\\].\n- de contr\u00f4ler les potentielles modifications au niveau des annuaires\n Active Directory et notamment l\u2019ajout de privil\u00e8ges \u00e9lev\u00e9s \u00e0 des\n comptes \\[10\\] ou l\u2019ajout d\u2019approbations entre domaines ou for\u00eats\n \\[11\\].\n- de contr\u00f4ler l\u2019utilisation anormale de jetons SAML notamment avec\n les plates-formes Office365/Azure AD.\n- **de mettre \u00e0 jour la solution Orion vers la version 2020.2.1 HF2 ou\n \u00e0 d\u00e9faut vers la version 2019.4 HF 6 \n **\n\nPour rappel, le CERT-FR a publi\u00e9 un guide \u00e0 suivre en cas d\u2019intrusion\n\\[5\\].\n\n------------------------------------------------------------------------\n\nLa mise \u00e0 jour d\u2019un produit ou d\u2019un logiciel est une op\u00e9ration d\u00e9licate\nqui doit \u00eatre men\u00e9e avec prudence. Il est notamment recommand\u00e9\nd\u2019effectuer des tests autant que possible. Des dispositions doivent\n\u00e9galement \u00eatre prises pour garantir la continuit\u00e9 de service en cas de\ndifficult\u00e9s lors de l\u2019application des mises \u00e0 jour comme des correctifs\nou des changements de version.\n\n
\n\n
\n","cves":[{"name":"CVE-2020-10148","url":"https://www.cve.org/CVERecord?id=CVE-2020-10148"}],"links":[{"title":"[6] Rapport Palo Alto","url":"https://unit42.paloaltonetworks.com/solarstorm-supernova/"},{"title":"[5] Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information","url":"https://www.cert.ssi.gouv.fr/information/CERTA-2002-INF-002/"},{"title":"[8] Alerte US-CERT et liste des marqueurs","url":"https://us-cert.cisa.gov/ncas/alerts/aa20-352a"},{"title":"[13] avis CERT-FR CERTFR-2020-AVI-845 du 28 d\u00e9cembre 2020","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-845/"},{"title":"[2] Avis de s\u00e9curit\u00e9 de l'\u00e9diteur","url":"https://www.solarwinds.com/securityadvisory"},{"title":"[9] R\u00e9f\u00e9rence documentaire Microsoft","url":"https://msrc-blog.microsoft.com/2020/12/21/december-21st-2020-solorigate-resource-center/"},{"title":"[4] Article de MSRC","url":"https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/"},{"title":"[11] Outil de d\u00e9tection Microsoft","url":"https://github.com/Azure/Azure-Sentinel/blob/master/Detections/AuditLogs/ADFSDomainTrustMods.yaml"},{"title":"[10] Outil de d\u00e9tection Microsoft","url":"https://github.com/Azure/Azure-Sentinel/blob/master/Detections/SigninLogs/AzureAADPowerShellAnomaly.yaml"},{"title":"[7] Rapport Microsoft du 18 d\u00e9cembre 2020","url":"https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect/"},{"title":"[3] Signature de d\u00e9tection propos\u00e9e par FireEye","url":"https://github.com/fireeye/sunburst_countermeasures"},{"title":"[1] Papier de recherche de FireEye","url":"https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"},{"title":"[12] CVE-2020-10148","url":"https://www.cve.org/CVERecord?id=CVE-2020-10148"}],"reference":"CERTFR-2020-ALE-026","revisions":[{"description":"Version initiale","revision_date":"2020-12-14T00:00:00.000000"},{"description":"Correction d'une coquille.","revision_date":"2020-12-15T00:00:00.000000"},{"description":"Mise \u00e0 jour des informations concernant les versions affect\u00e9es et la publication des versions correctives.","revision_date":"2020-12-17T00:00:00.000000"},{"description":"Mise \u00e0 jour de l'alerte pour mentionner la d\u00e9couverte de Supernova et ajout de r\u00e9f\u00e9rences documentaires","revision_date":"2020-12-23T00:00:00.000000"},{"description":"Mise \u00e0 jour de l'alerte pour ajouter les pr\u00e9cisions de SolarWinds sur Supernova.","revision_date":"2020-12-28T00:00:00.000000"},{"description":"Mise \u00e0 jour de l'alerte pour ajouter les pr\u00e9cisions de SolarWinds sur Supernova en date du 31 d\u00e9cembre 2020.","revision_date":"2021-01-06T00:00:00.000000"},{"description":"correction d'une erreur dans l'identifiant de la CVE.","revision_date":"2021-01-07T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application des mesures correctives permet d'\u00e9liminer la compromission.","revision_date":"2021-04-15T00:00:00.000000"}],"risks":[{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"},{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"
\n\n\\[Mise \u00e0 jour du 28 d\u00e9cembre 2020\\]\n\n
\n\n
\n\nLe 27 d\u00e9cembre 2020, l'avis SolarWinds a \u00e9t\u00e9 mis \u00e0 jour pour\u00a0apporter\ndes pr\u00e9cisions sur SUPERNOVA, un \"code encoquill\u00e9\" (*webshell*) d\u00e9pos\u00e9\net ex\u00e9cut\u00e9 *via* l'exploitation d'une vuln\u00e9rabilit\u00e9 corrig\u00e9e dans les\nderni\u00e8res versions d'Orion.\n\n
\n\n
\n\n\\[Mise \u00e0 jour du 23 d\u00e9cembre 2020\\]\n\n
\n\nLe 17 d\u00e9cembre, Palo Alto a publi\u00e9 un rapport \\[6\\] dans lequel ils\nindiquent qu\u2019un *webshell* a \u00e9t\u00e9 identifi\u00e9 dans une autre biblioth\u00e8que\npr\u00e9sente dans le serveur Web de la solution Orion. Ce *webshell*,\nd\u00e9nomm\u00e9 SUPERNOVA, a la particularit\u00e9 de ne pas requ\u00e9rir la transmission\nd\u2019un code ex\u00e9cutable par l\u2019attaquant mais un code source en .NET qui\nsera ex\u00e9cut\u00e9 en m\u00e9moire sur le serveur sans laisser de traces sur le\ndisque.\n\n
\n\n\\[Version initiale\\]\n\n
\n\n
\n\nLe 8 d\u00e9cembre 2020, FireEye a annonc\u00e9 avoir d\u00e9couvert une campagne\nd'intrusion par le biais d'une compromission de mise \u00e0 jour de la\nplateforme de gestion et de supervision Orion de SolarWinds. Cette\nplate-forme a servi de vecteur pour une attaque par la cha\u00eene\nd'approvisionnement (*supply chain attack)*. Les mises \u00e0 jour ont \u00e9t\u00e9\nalt\u00e9r\u00e9es afin d'inclure un maliciel appel\u00e9 SUNBURST \\[1\\]. Le code\nmalveillant permet \u00e0 l'attaquant d'ex\u00e9cuter du code \u00e0 distance et\nd'exfiltrer des donn\u00e9es.\n\n
\n\n
\n\nL'\u00e9diteur confirme que certaines versions de son produit ont \u00e9t\u00e9\nalt\u00e9r\u00e9es et a publi\u00e9 un avis afin de fournir toutes les informations\npour que les utilisateurs puissent s\u00e9curiser leurs installations \\[2\\].\n\n
\n\n
\n\nD'apr\u00e8s FireEye, la campagne aurait commenc\u00e9 au printemps 2020 et\ncontinuerait actuellement. FireEye a mis \u00e0 disposition des signatures de\nd\u00e9tection (cf \\[3\\]) pour ce maliciel.\n\n
\n","title":"[MaJ] Pr\u00e9sence de code malveillant dans SolarWinds Orion","vendor_advisories":[]}