Atlantic.Net fournit ce message d'avis de sécurité en tant qu'article d'actualité ; nous voulons rassurer nos clients sur le fait qu'Atlantic.Net n'utilise aucun produit SolarWinds en interne ou dans le cadre de l'une de nos offres de services.
Le 13 décembre 2020, des nouvelles ont été diffusées par l'organisation de cybersécurité FireEye concernant une faille de sécurité majeure chez SolarWinds Corporation. SolarWinds est un géant technologique basé au Texas qui est devenu un acteur dominant dans la surveillance des serveurs et la gestion des réseaux avec sa gamme de produits logiciels Orion. Elle sert 300 000 clients dans le monde et bénéficie de la confiance de plusieurs organisations et institutions gouvernementales de premier plan.
Les experts en cybersécurité pensent qu'une cyberattaque sophistiquée, peut-être russe, parrainée par l'État, a violé l'infrastructure de SolarWinds et touché de nombreux clients de l'entreprise. Les experts pensent que SolarWinds a été piraté au printemps 2020, mais les préparatifs de l'attaque ont peut-être commencé beaucoup plus tôt.
Des entreprises mondiales telles que VMware, Intel, Microsoft et Cisco seraient touchées par l'attaque, ainsi que les cinq branches de l'armée américaine, l'administration nationale de la sécurité nucléaire, le Pentagone, le département d'État et le bureau du président de les États-Unis.
Le hack était incroyablement sophistiqué. Les pirates ont pu accéder aux systèmes internes de SolarWinds et compromettre leurs mises à jour officielles du logiciel Orion avec "cheval de Troie" mises à jour des logiciels malveillants. Cela a permis aux pirates de déguiser les mises à jour compromises en mises à jour Orion légitimes et approuvées par SolarWinds. On pense que jusqu'à 18 000 clients de SolarWinds ont téléchargé le logiciel malveillant. Il s'agit indéniablement d'une faille de sécurité énorme, incroyable et assez choquante dans une entreprise évaluée à environ 5 milliards de dollars.
FireEye, la société de cybersécurité qui a identifié la brèche pour la première fois, a déclaré que le piratage donnait aux intrus "la possibilité de transférer des fichiers, d'exécuter des fichiers, de profiler le système, de redémarrer la machine et de désactiver les services système". Le logiciel malveillant fait passer son trafic réseau pour le protocole Orion Improvement Program (OIP) et stocke les résultats de la reconnaissance dans des fichiers de configuration de plug-in légitimes, ce qui lui permet de se fondre dans l'activité légitime de SolarWinds. »
Une fois installés par les victimes, les pirates ont utilisé une partie du framework logiciel Orion, en particulier une vulnérabilité de l'API HTTP dans un fichier appelé SolarWinds.Orion.Core.BusinessLayer.dll. L'exploit leur a permis d'exécuter des "tâches" à distance sur n'importe quel serveur compromis et de traverser le réseau de la victime en utilisant les privilèges "god mode" pour compromettre n'importe quel serveur connecté et effectuer un vol de données.
Symantec et Palo Alto Networks ont signalé que des charges utiles secondaires connues sous le nom de Teardrop et Supernova ont été déployées contre des "cibles d'intérêt". Teardrop intègre le malware Cobalt Strike Beacon qui tente de voler des informations d'identification, de pirater Active Directory et de voler des données.
Comme cette nouvelle n'a été annoncée que récemment, l'ampleur de l'impact n'est pas encore entièrement connue, mais de nombreuses entreprises se préparent à enquêter sur l'impact de la violation de données. Pour l'instant, personne ne sait exactement quelles données ont été volées, bien que le gouvernement ait peut-être une idée. Cela pourrait être considéré comme la pire cyberattaque de l'histoire lorsque l'on comprendra la véritable portée de cette violation et ses retombées.
Ce qui a rendu cette attaque si insidieuse, c'est le vecteur d'attaque utilisé :la chaîne d'approvisionnement de SolarWinds. SolarWinds n'était pas la cible finale, mais ils sont fortement intégrés et approuvés par des entités gouvernementales et des organisations de premier plan. Ce type d'attaque est connu sous le nom de menace persistante avancée (APT) et la méthode d'attaque n'est rien de plus qu'un cheval de Troie; plus précisément, il est connu sous le nom de cheval de Troie d'accès à distance (RAT) car il cible les données des utilisateurs et les secrets de l'entreprise.
Actions recommandées
SolarWinds a identifié les mises à jour Orion infectées et a publié des informations à leur sujet ici. Les utilisateurs doivent vérifier si les versions mises à jour de la plate-forme Orion 2019.4 HF5 ont été installées entre mars et juin 2020. Ils recommandent à tous les utilisateurs d'Orion de mettre à jour la version 2020.2.1 Hot Fix 2 d'Orion Platform.
Les utilisateurs doivent vérifier leurs réseaux pour s'assurer qu'ils ont été compromis. Recherchez deux identifiants clés :l'utilisation du malware en mémoire Teardrop pour déposer Cobalt Strike Beacon et les noms d'hôte de votre organisation. En cas de violation, les noms d'hôte peuvent découvrir des adresses IP malveillantes utilisées par les attaquants.
Atlantic.Net propose également ces conseils supplémentaires sur les meilleures pratiques en matière de cybersécurité :assurez-vous d'utiliser une forme de gestionnaire de mots de passe local. Si vous ne le faites pas déjà, utilisez une forme d'authentification multifacteur, installez-la de toute urgence sur votre réseau. Il existe différentes options disponibles, y compris des versions sous licence payantes ou open source. N'utilisez jamais le même mot de passe dans toute votre organisation, appliquez une politique de mot de passe stricte et appliquez une stratégie de mot de passe complexe.
Une théorie circulant sur la façon dont les pirates ont géré le compromis initial postule qu'ils ont obtenu l'accès en utilisant des noms d'utilisateur et des mots de passe internes pour SolarWinds qui ont été trouvés intégrés dans les référentiels de code publics GitHub. La théorie du mot de passe "Solarwinds123" peut avoir un certain mérite et, si elle est vraie, pointe du doigt les mauvaises pratiques de sécurité enracinées dans SolarWinds.
Nous ne pouvons pas prédire les retombées de cette brèche, mais il est probable qu'elle ait de graves ramifications mondiales. Cet incident obligera probablement les organisations américaines à effectuer un audit de la tête aux pieds de leurs environnements réseau. SolarWinds perdra sans aucun doute de nombreux clients à cause de cette violation très médiatisée et peut s'attendre à d'énormes amendes réglementaires. Il est possible qu'ils soient même passibles d'amendes pour avoir enfreint le RGPD, car de nombreux clients de SolarWinds sont situés dans l'Union européenne.
Nous nous attendons à ce que l'administration américaine réorganise le protocole de cybersécurité à la suite de cette attaque, surtout s'il s'avère qu'il s'agit d'une attaque parrainée par l'État par la Russie. Le gouvernement américain a déjà mis en place une plate-forme de cybersécurité conçue pour contrecarrer ce type d'attaque connue sous le nom d'EINSTEIN 3. Il semblerait que ce système n'était absolument pas au courant de cette attaque.
Si votre entreprise est préoccupée par la cybersécurité, n'hésitez pas à contacter Atlantic.Net. Nous sommes des spécialistes des services gérés, de l'hébergement cloud et de la conformité HIPAA. La sécurité de notre infrastructure est d'une importance primordiale, et nous travaillons dur pour nous assurer que nous avons les meilleurs processus de sécurité en place. Cette cyberattaque restera dans l'histoire comme l'une des pires de tous les temps, nous nous inquiétons pour nos amis de l'industrie qui pourraient en être affectés. Les clients de SolarWinds n'ont rien fait de mal; ils ont acheté une suite de gestion de serveur à la pointe de l'industrie auprès d'une entreprise réputée, et maintenant, en raison d'une incompétence inconnue en matière de sécurité, chaque client a été mis en danger sans faute de sa part. Contactez-nous dès aujourd'hui.