La CISA met à jour les directives de SolarWinds et demande aux agences gouvernementales américaines de les mettre à jour immédiatement

L'Agence américaine de cybersécurité et de sécurité des infrastructures a mis à jour ses directives officielles pour faire face aux retombées de l'attaque de la chaîne d'approvisionnement de SolarWinds.

Dans un mise à jour Publié tard hier soir, CISA a déclaré que toutes les agences gouvernementales américaines qui utilisent encore les plates-formes SolarWinds Orion doivent mettre à jour vers la dernière version 2020.2.1HF2 d'ici la fin de l'année.

Les agences qui ne peuvent pas mettre à jour avant cette date limite doivent mettre tous les systèmes Orion hors ligne, conformément aux directives originales de la CISA, publiées pour la première fois le 18 décembre.

La mise à jour des conseils intervient après que des chercheurs en sécurité ont découvert une nouvelle vulnérabilité majeure dans l'application SolarWinds Orion pendant les vacances de Noël.

Suivi comme CVE-2020-10148, cette vulnérabilité est un contournement d'authentification dans l'API Orion qui permet aux attaquants d'exécuter du code à distance sur les installations Orion.

Cette vulnérabilité était exploitée de manière sauvage pour installer le malware Supernova sur les serveurs sur lesquels la plateforme Orion était installée, dans des attaques distinctes de l’incident de la chaîne d’approvisionnement de SolarWinds.

Mise à jour d'Orion vérifiée par la NSA

Dans le cadre de l'attaque initiale de la chaîne d'approvisionnement de SolarWinds, des pirates ont pénétré dans le réseau interne de SolarWinds et modifié plusieurs versions de l'application Orion pour y ajouter des logiciels malveillants.

Toutes les mises à jour de l'application Orion, versions 2019.4 à 2020.2.1, publiées entre mars 2020 et juin 2020, étaient entachées par une souche de malware nommée Sunburst (ou Solorigate).

Ce malware aurait été installé par au moins 18 000 entreprises, selon SolarWinds. Sunburst n'était qu'un module de reconnaissance de première étape qui permettait aux attaquants de faire passer les infections à une deuxième étape, où ils déployaient une souche de malware nommée Teardrop.

SolarWinds a publié la version 2020.2.1HF2 le 15 décembre pour répondre à l'attaque, affirmant que l'installation de la mise à jour supprimer toute trace du code lié à Sunburst de leurs systèmes (présents dans les réseaux victimes après l'installation des versions Orion initialement corrompues).

"L'Agence nationale de sécurité (NSA) a examiné cette version [2020.2.1HF2] et vérifié qu'elle élimine le code malveillant précédemment identifié", a indiqué mardi la CISA.

Mais en plus de supprimer le code malveillant lié à Sunburst des hôtes infectés, la CISA exhorte principalement les agences gouvernementales à mettre à jour vers 2020.2.1HF2 pour s'assurer que les acteurs malveillants ne peuvent pas exploiter tout autre bug lié à Orion, comme la grave vulnérabilité CVE-2020-10148, pour mener de nouvelles attaques contre des agences fédérales américaines déjà ébranlées par la chaîne d'approvisionnement initiale attaque.

Plus d'outils pour les défenseurs travaillant sur SolarWinds IR

Avant de publier cette mise à jour des directives, CISA a également publié un outil gratuit destiné aux experts en informatique et en sécurité travaillant sur la réponse aux incidents (IR) sur l'attaque de la chaîne d'approvisionnement de SolarWinds.

L'outil, un script PowerShell, permet de détecter les comptes et applications potentiellement compromis dans un environnement Azure ou Microsoft 365.

Dans un rapport publié hier, Microsoft a déclaré que l'objectif des pirates de SolarWinds était d'accéder aux réseaux des entreprises via la mise à jour corrompue de l'application Orion, puis d'intensifier leurs attaques. l'accès aux réseaux locaux de leurs victimes, et enfin, aux environnements cloud des victimes, où la plupart des données sensibles étaient stockées agrégés.

CrowdStrike, qui a déclaré la semaine dernière qu'il était également ciblé par les pirates de SolarWinds, mais que l'attaque a échoué, a également publié un outil similaire à celui publié par CISA. Nommé CRT, l'outil peut aider à identifier les comptes disposant d'autorisations d'accès étendues au sein d'un réseau d'entreprise Azure AD et Office 365.

Les outils CISA et CrowdStrike sont utiles pour repérer les comptes dotés d'autorisations étendues qui ne sont pas sous le contrôle d'un administrateur.