Selon SolarWinds, 18 000 clients ont été touchés par la cyberattaque
Le fournisseur de logiciels informatiques SolarWinds a minimisé sa récente faille de sécurité, selon des documents déposés lundi auprès de la Commission américaine des opérations boursières (US Securities and Exchange Commission).
SolarWinds a révélé dimanche qu’un groupe de pirates informatiques a pénétré dans son réseau et a inséré des logiciels malveillants dans les mises à jour d’Orion, une application logicielle de gestion et de surveillance de l’inventaire informatique.
Les versions 2019.4 à 2020.2.1 de l’application Orion, publiées entre mars 2020 et juin 2020, ont été infectées par des logiciels malveillants, a déclaré SolarWinds dans un avis de sécurité.
Cette mise à jour compromise a permis aux attaquants de déployer des logiciels malveillants sur les réseaux des clients de SolarWinds.
Seulement 18 000 des 300 000 clients concernés
Dans les documents, SolarWinds a déclaré que sur ses 300 000 clients au total, seuls 33 000 utilisaient Orionet que moins de 18 000 d’entre eux auraient installé la mise à jour contenant le logiciel malveillant.
L’entreprise a déclaré qu’elle avait informé les 33 000 clients d’Orion dimanche, même s’ils n’avaient pas installé la mise à jour compromise, en leur donnant des informations sur le piratage et les mesures d’atténuation qu’ils pouvaient prendre.
Dans un avis de sécurité dimanche et dans des documents déposés auprès de la SEC, SolarWinds a déclaré qu’il prévoyait de publier mardi une mise à jour d’Orion qui contiendra un code permettant de supprimer toute trace du logiciel malveillant des systèmes des clients.
Si les clients ne peuvent pas attendre jusqu’à mardi, Microsoft, FireEye, et la US Cybersecurity and Infrastructure Agency (CISA) ont également publié dimanche des rapports techniques contenant des instructions sur la manière d’identifier les traces du malware SolarWinds Orion (nommé SUNBURST par FireEye et Solarigate par Microsoft), de le supprimer des systèmes et de détecter si les pirates ont profité de l’attaque pour se déplacer sur les réseaux internes.
En France, le CERTFR a publié hier soir une alerte concernant cette mise à jour et donne plusieurs recommandations pour sécuriser les systèmes des utilisateurs d’Orion potentiellement affectés par ce piratage.
Le compte de messagerie électronique de SolarWinds Office 365 a également été compromis
Si des détails sur la façon dont les pirates ont exploité SolarWinds pour infecter les réseaux de clients, SolarWinds n’a pas encore expliqué comment les pirates ont infiltré son propre réseau.
Néanmoins, SolarWinds a déclaré avoir également appris de Microsoft que ses comptes de messagerie Office 365 ont également été compromis.
La société a déclaré qu’elle enquêtait actuellement pour savoir si les attaquants avaient utilisé l’accès aux comptes de messagerie électronique pour voler les données des clients.
SolarWinds n’a pas spécifiquement indiqué que la compromission de compte de messagerie a permis aux pirates d’accéder à l’infrastructure de serveur prenant en charge le mécanisme de mise à jour de l’application Orion.
Un des piratages les plus conséquents de ces dernières années
Le piratage de la plateforme SolarWinds Orion s’avère être l’un des plus importants de ces dernières années.
Actuellement, la faille de sécurité de SolarWinds a été utilisée dans des piratages de l’entreprise de sécurité américaine FireEye, du département du Trésor américain et de l’Administration nationale des télécommunications et de l’information (NTIA) du département du Commerce américain.
L’ampleur du piratage pourrait cependant être bien pire. Forbes a indiqué que SolarWinds est un contractant majeur du gouvernement américain, avec des clients réguliers tels que la CISA, le Cyber Commandement américain, le Département de la Défense, le Bureau Fédéral d’Investigation, le Département de la Sécurité Intérieure, les Anciens Combattants, et bien d’autres.
En outre, FireEye, qui enquête sur l’incident dans le cadre de sa propre faille de sécurité, a déclaré que les attaquants ont également compromis des cibles dans le monde entier, et pas seulement aux États-Unis, y compris des gouvernements et des entreprises du secteur privé dans plusieurs pays.
Reuters a rapporté que malgré une large base d’installation de la plateforme Orion, les attaquants semblent s’être concentrés uniquement sur un petit nombre de cibles de grande valeur.
Plusieurs administrateurs informatiques ont déclaré aujourd’hui avoir trouvé des signes de la mise à jour Orion sur leurs systèmes, mais pas de signes de charges utiles de deuxième étape, généralement utilisées par les attaquants pour obtenir l’accès à d’autres systèmes et aux réseaux internes des clients.
SolarWinds a déclaré qu’au cours des trois premiers trimestres de 2020, les revenus de la gamme de produits Orion ont rapporté environ 343 millions de dollars, soit environ 45 % du revenu total de l’entreprise.
Si les clients finissent par abandonner l’application, les retombées de cette faille de sécurité auront également un impact majeur sur les résultats de SolarWinds.
Source : “ZDNet.com”
