SolarWinds, un spécialiste de la surveillance IT, a indiqué dimanche dernier avoir été victime d’une “cyberattaque manuelle très sophistiquée de la chaîne d’approvisionnement … probablement menée par un État-nation”.
Les produits compromis sont les versions SolarWinds Orion 2019.4 à 2020.2.1.
Comment savoir si vous utilisez une version SolarWinds Orion concernée par cette attaque ?
Les clients Sophos peuvent identifier s’ils utilisent une version vulnérable de plusieurs manières :
Les clients Sophos MTR
L’équipe MTR surveille activement tous les environnements clients protégés et a déjà contacté directement ceux concernés afin de discuter des mesures de remédiation.
Les clients Sophos EDR
Les clients EDR peuvent exécuter la requête dédiée ci-dessous pour traquer les versions concernées (les mises à jour seront publiées ici):
SELECT name, version, install_location, publisher, uninstall_string, install_date FROM programs where name like 'SolarWinds Orion%2020.2' or name like 'SolarWinds Orion%2020.2.1%' or name like 'SolarWinds Orion%2019.4%';
De plus, les clients EDR peuvent rechercher les hachages DLL SHA256 malveillants suivants :
- 32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77
- dab758bf98d9b36fa057a66cd0284737abf89857b73ca89280267ee7caf62f3b
- eb6fab5a2964c5817fb239a7a5079cabca0a00464fb3e07155f28b0a57a2c0ed
- c09040d35630d75dfef0f804f320f8b3d16a481071076918e9b236a321c1ea77
- ac1b2b89e60707a20e9eb1ca480bc3410ead40643b386d624c5d21b47c02917c
- 019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134
- ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6
- a25cadd48d70f6ea0c4a241d99c5241269e6faccb4054e62d16784640f8e53bc
- d3c6785e18fba3749fb785bc313cf8346182f532c59172b69adfb31b96a5d0af
- 019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134
- ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6
- 32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77
- c15abaf51e78ca56c0376522d699c978217bf041a3bd3c71d09193efa5717c71
Quiconque n’utilise pas Sophos EDR peut démarrer un essai gratuit de 30 jours et exécuter la requête sur l’ensemble de votre domaine :
- Si vous exécutez déjà Sophos Central, activez la version d’évaluation gratuite directement au niveau de votre console. Dans la rubrique “MORE PRODUCTS” (PLUS DE PRODUITS) au niveau de la navigation principale, sélectionnez “Free Trials” (Essais Gratuits), puis sélectionnez Intercept X Advanced with EDR, Intercept X Advanced for Server with EDR, ou les deux.
- Si vous n’utilisez pas Sophos Central, démarrez un essai gratuit depuis notre site Web.
Tous les clients Sophos
Les SophosLabs ont publié les détections anti-malware suivantes pour les composants SolarWinds compromis :
- Mal/Sunburst-A
- Troj/SunBurst-A
- Troj/Agent-BGGA
- Troj/Agent-BGGB
- Troj/Agent-BGFZ
Si vous voyez une ou plusieurs de ces détections apparaître, alors vous êtes exposé à une attaque potentielle.
Les SophosLabs ont également publié les détections suivantes pour les composants de type backdoor (porte dérobée) de deuxième niveau connus :
- Mal/Sunburst-B
- Troj/Agent-BGGC
Si vous voyez une ou plusieurs de ces détections, vous êtes probablement victime d’une attaque ciblée et devez prendre des mesures de remédiation supplémentaires.
Attention : vérifiez votre configuration pour les exclusions au niveau de l’analyse (scan). Rendez vous sur https://twitter.com/ffforward/status/1338785034375999491
Les SophosLabs sont en train de publier des signatures IPS qui identifient le trafic Command-and-Control à partir des étapes d’exploitation actives de cette attaque. La liste des signatures IPS à surveiller sur Sophos XG Firewall est la suivante :
- 56662 – MALWARE-CNC Win.Backdoor.Sunburst inbound connection attempt
- 56660 – MALWARE-CNC Win.Backdoor.Sunburst outbound connection attempt
- 56665 – MALWARE-CNC Win.Backdoor.Sunburst outbound connection attempt
- 56661 – MALWARE-CNC Win.Backdoor.Sunburst outbound connection attempt
Si vous voyez une ou plusieurs de ces détections IPS, vous êtes probablement victime d’une attaque ciblée et devez prendre des mesures de remédiation supplémentaires.
Nous avons bloqué tous les indicateurs IP et de domaine associés.
Nous avons également révoqué la confiance concernant le certificat SolarWinds compromis utilisé lors de ces attaques.
Sophos Application Control détecte toutes les versions de SolarWinds Orion sous le nom “SolarWinds MSP Agent“. Le contrôle des applications (Application Control) est un paramètre facultatif : parcourez le Guide d’assistance pour savoir comment l’activer et ajoutez SolarWinds à la liste des applications que vous souhaitez bloquer.
Les SophosLabs continuent d’investiguer l’attaque et proposeront une protection supplémentaire si nécessaire. Veuillez surveiller cet article pour obtenir davantage de mises à jour.
Quoi faire si vous êtes concerné ?
Si vous utilisez une version compromise, nous vous recommandons d’isoler les serveurs SolarWinds concernés du réseau.
Nous vous recommandons également de reconstruire tous les serveurs SolarWinds concernés et d’installer la version 2020.2.1 HF 2 de la plateforme Orion qui est maintenant disponible. Rendez vous sur https://www.solarwinds.com/securityadvisory pour obtenir plus de détails.
Nous vous donnerons sous peu d’autres conseils sur la marche à suivre en matière de réponse aux incidents. Contactez votre équipe de sécurité ou votre partenaire pour obtenir des conseils et une assistance si nécessaire.
Sophos et SolarWinds
Sophos est un client SolarWinds. Nous avons isolé les cas et nous investiguons activement cet incident. Nous vous proposerons sous peu de nouvelles mises à jour.
Découvrez sans plus attendre notre playbook de réponse aux incidents.
Découvrez les dernières mises à jour : 2020-12-16 14:03 UTC (changelog).
Billet inspiré de SolarWinds breach: how to identify if you have been affected, sur le Blog Sophos.
Qu’en pensez-vous ? Laissez un commentaire.