En début de semaine, une cyberattaque de grosse envergure était dévoilée. Des pirates auraient falsifié des mises à jour de la plateforme Orion de SolarWinds, qui a des clients gouvernementaux, de l'armée et des services de renseignement.
La société déclarait que des mises à jour entre mars et juin avaient peut-être été corrompues via une « attaque de la chaîne d'approvisionnement très sophistiquée, ciblée et manuelle, par un État-nation ».
Selon un nouveau rapport cité par The Hacker News, les pirates auraient compromis la plateforme de SolarWinds dès octobre 2019 : « Alors que la première version contaminée d’Orion remonte à la 2019.4.5200.9083, ReversingLabs a constaté qu'une version antérieure 2019.4.5200.8890, publiée en octobre 2019, comprenait également des modifications apparemment inoffensives, qui ont servi de tremplin pour la véritable attaque ».
Il s’agirait en quelque sorte d’une répétition générale histoire de voir si les modifications ajoutées subrepticement étaient bien présentes dans les mises à jour déployées aux partenaires de SolarWinds.
Commentaires (7)
#1
Security researcher Vinoth Kumar told Reuters that, last year, he alerted the company that anyone could access SolarWinds’ update server by using the password “solarwinds123”.
La confiance dans cette boîte me paraît surestimée.
#2
Bon il semblerait que Microsoft ait réagi de leur côté:
https://www.bleepingcomputer.com/news/security/fireeye-microsoft-create-kill-switch-for-solarwinds-backdoor/
#3
C’est que ce j’ai lu aussi. L’attaque sophistiquée a démarrée sur une grosse #$*!@& de l’éditeur…
A noter qu’heureusement que FireEye s’est fait pirater, sinon on ne saurait peut-être encore rien de cette affaire…
#4
Assez fou cette histoire. Les pirates ont-il volé les certificats, accédé au stockage pour remplacer les mises à jours et ont contourné les systèmes de vérifications d’intégrité des fichiers, ou ils ont remplacé du code avant compilation ?
#4.1
avant compil à priori.
#5
En effet : The digitally signed updates were posted on the SolarWinds website from March to May 2020.
La liste des clients touchés est également impressionnante.
#6
les attaques via supply chain sont relativement complexes à mener, mais quand ça marche c’est une véritable tuerie. cf notpetya