« Sunburst », la faille de sécurité de SolarWinds

Maintenant qu’une partie de « la poussière » est retombée sur cet événement, il est possible d’examiner avec un recul suffisant, les causes et les conséquences possibles de cette attaque en « supply chain ».
Les contours de ce que l’on appelle désormais « l’affaire Solarwinds » ne font que démarrer.
Si l’attaque, de par son degré de sophistication laisse à penser qu’un acteur étatique est impliqué, les contours précis sont difficiles à cerner.

Qu’est-ce qu’une attaque en « supply chain » ?

Une attaque en supply chain consiste à pirater l’un des éléments logiciels utilisés par la cible qu’ils visent. En incorporant des malwares dans le code source d’un produit logiciel, ils peuvent ainsi agir sur leur cible lorsque celle-ci déploie le produit logiciel en question.
Bien entendu, les attaques en supply chain sont très complêxes et longues à élaborer : elles excluent de fait les pirates amateurs et sont donc, de fait, l’oeuvre de pirates étatiques.
Toutefois, lorsqu’une attaque en supply chain est élaborée, elle permet par ricochet d’attaquer automatiquement bien plus de cibles que celles visées au préalable.

Comment l’attaque s’est-elle déclenchée ?

Nous savons désormais que l’attaque remonte à Octobre 2019, soit un an et un mois avant qu’elle ne soit détectée.
L’attaque impliquait des pirates de haut niveau, ayant travaillé pendant plusieurs mois sur l’exploitation d’une faille de SolarWinds Orion, probablement avec une aide étatique.
Après quelques mois à étudier SolarWinds, ils auraient trouvé une faille dans le processus de mise à jour de Orion. Il est possible qu’ils aient compromis des comptes Office 365 pour accéder aux données internes, de manière classique en utilisant des mails frauduleux pour obtenir des accès. SolarWinds a confirmé que des comptes Office 365 ont bien été piratés, mais aucun lien n’a été confirmé entre le piratage de ces comptes et l’attaque.
Ils ont exploité cette faille pour diffuser un virus dans les mises à jour 2019.4 HF 5 et 2020.2 sans hotfix ou 2020.2 HF1. Le virus s’est ensuite propagé au rythme des mises à jour, caché par le cryptage appliqué sur les mises à jour par l’application, ainsi la majorité des pare-feus et des solutions antivirales ne pouvaient pas le remarquer. Le malware installé disposait de « backdoors » permettant aux hackers d’y accéder, par la suite. Cette méthode d’action montre bien que le fait de déployer un firewall sans activer le déchiffrement HTTPS apporte un faux sentiment de sécurité.

Solarwinds Attack Timeline

Solarwinds Attack Time – Unit42 – Copyright Palo Alto Networks

Qui était concerné ?

Le premier à avoir détecté et publié sur cette cyber-attaque est la société FireEye.
Suite à leur rapport sur cette attaque, sur plus de 33000 entreprises utilisant Orion, 18000 auraient été touchés. Parmi ces cibles, on recense 425 entreprises du « Fortune 500 ».
L’attaque a ciblé en particulier les Etats Unis, et notamment les départements de l’état, du trésor, de la sécurité intérieure ainsi que plusieurs instances de la juridiction américaine et des hauts fonctionnaires.
D’autres entreprises privées Américaines, comme par exemple Microsoft ou Cisco, ont été visées, mais également, des grandes entreprises de cybersécurité, à l’instar de Malwarebytes.
En France, l’attaque n’a fait que peu de victimes connues, selon l’ANSSI.

Il est à noter que de très grands acteurs du monde informatique, tels que Google ont déclaré ne pas avoir été touchés par l’attaque Sunburst, un résultat qu’ils attribuent à leurs pratiques très avancées en matière de développement autonome et de pratiques de type Zéro Confiance (« ZeroTrust »).

Aujourd’hui, des médias généralistes tels que Le Monde parlent de la cyber-attaque de la décennie.

Quelles ont été les réactions ?

SolarWinds a sorti une mise à jour à installer d’urgence, la mise à jour 2020.2.1 HF 1 pour éviter la propagation du virus, puis une seconde mise a jour (2020.2.1 HF 2) pour contrer les capacités offensives de l’attaquant.
De son coté l’état Américain accuse Moscou d’être à l’origine de cette attaque, et l’état Russe dément cette accusation.
Des rapports récents mettent également en cause des acteurs chinois qui auraient exploité d’autres failles relatives aux produits Solarwinds.
D’autres entreprises ont également réagi à cette attaque. Palo Alto Networks a mis en place « SolarStorm Rapid Assesment » pour déterminer si un client est atteint par le virus, et « SolarStorm Cybersecure Engagement » pour aider les clients atteints par ce malware à évaluer les ressources affectées et à prendre les mesures appropriées.

Dernièrement, au début du mois de Février, Solarwinds a dévoilé 3 nouvelles vulnérabilités dans ses produits qui auraient pu permettre une exploitation à distance. Ces vulnérabilités ne semblent toutefois pas avoir été exploitées.

Comment se protéger ?

Aujourd’hui, la plupart des produits de protection « endpoint » et périmétriques de nos partenaires permettent de lutter contre la propagation du malware Sunburst.
Fortinet, Palo Alto Networks et WatchGuard ont, chacun, proposé des protections sur les différents produits de leurs gammes respectives.
Fortinet a incorporé des mécanismes de protection dans ses équipements FortiClient, FortiEDR et FortiGate, s’ils sont correctement configurés.
Check Point détecte et bloque l’attaque au travers des Software Blades Anti-virus, Threat Emulation, Anti-bot et IPS.
Palo Alto, outre son initiative SolarStorm Rapid Assessment développée plus haut, bloque la menace dans son module de Threat Prevention au niveau des passerelles et via Cortex XDR au niveau des postes de travail.
WatchGuard a également mis des outils à disposition pour bloquer les attaques aussi bien sur Panda, son logiciel EDR que sur ses appliances.

Parmi les méthodes permettant de diminuer les risques :
Une base de fournisseurs réduite : l’entreprise doit connaitre ses fournisseurs et leurs capacités de développement.
L’empilement des librairies incorporées dans les produits, notamment « open source » fait que les briques de base, par exemple OpenSSL, lorsqu’elles sont corrompues peuvent avoir des effets explosifs sur un grand nombre de produits.
Des contrôles sur les fournisseurs de logiciels : l’entreprise doit disposer d’informations précises sur la manière dont sont développés les produits logiciels de ses fournisseurs et dont les codes sources sont protégés. Idéalement, elle devrait pouvoir faire des audits chez ses fournisseurs.
Pour les entreprises utilisant des produits disponibles en « open source », ces derniers devraient pouvoir être audités et recompilés en interne.
La sécurité intégrée dans la conception : le développement des méthodologies telles que DevSecOps et ZeroTrust a pour objectif d’incorporer la sécurité au coeur des processus de conception des produits.
Ces méthodes nous semblent difficile à mettre en oeuvre pour les entités ne disposant pas de gros moyens financiers.

Il est préférable de commencer par des protections plus facilement déployables :

• Une solution de type EDR (Endpoint Detection and Response) car les antivirus traditionnels à base de signature ne sont plus suffisants pour répondre aux enjeux des attaques modernes.
• Une analyse des flux chiffrés, notamment aux équipements périmétriques tels que les firewalls, pour apporter de la visibilité sur la couche applicative même lorsqu’elle est couverte par les protocoles SSL/TLS.
• Une solution d’analyse des logs de type SIEM (Security Information and Event Management) couplée à un système de
• Une validation des mécanismes de sauvegardes / restauration, disponibles dans l’entreprise.

________________________________________

Le niveau de sophistication des attaques augmente chaque année et à ce jour, les attaques en « suply chain », telles que celle de la faille Solarwinds, font partie des plus sophistiquées.
Il est donc nécessaire, selon les propres mots de Nikesh Arora, PDG et chairman de Palo Alto Networks de se préparer dès maintenant, à la prochaine attaque.