SolarWinds sur ses gardes après la découverte d’une nouvelle faille
Après avoir été touchée par une gigantesque attaque informatique il y a un an, la société SolarWinds est de nouveau dans l’œil du cyclone. L’éditeur de logiciels de sécurité a publié de nouvelles mises à jour pour ses outils Serv-U Managed File Transfer et Serv-U Secure FTP ce week-end, après avoir été informé d’une nouvelle vulnérabilité par Microsoft. Dans un avis envoyé vendredi et mis à jour samedi, SolarWinds indique que Microsoft « a découvert une vulnérabilité d’exécution de code à distance dans le produit Serv-U de SolarWinds ».
La vulnérabilité se trouve dans la dernière version Serv-U 15.2.3 HF1, publiée le 5 mai 2021, ainsi que dans toutes les versions antérieures. Microsoft a fourni à l’entreprise une preuve de cette faille de sécurité, précisant qu’au moins un groupe d’attaquants l’a déjà utilisé. « Un acteur de la menace qui a exploité avec succès cette vulnérabilité pourrait exécuter du code arbitraire avec des privilèges. Un attaquant pourrait alors installer des programmes, visualiser, modifier ou supprimer des données, ou exécuter des programmes sur le système affecté », indique l’avis fourni par l’éditeur américain.
« Microsoft a fourni des preuves d’un impact limité et ciblé sur les clients, bien que SolarWinds ne puisse actuellement pas donner une estimation du nombre de clients pouvant être directement affectés par la vulnérabilité. SolarWinds n’a pas connaissance de l’identité des clients potentiellement affectés. » Un correctif a été développé et publié. SolarWinds rappelle que les clients du produit doivent se connecter à leur portail client pour accéder aux mises à jour.
La vigilance est de mise
Pour ceux qui ne sont pas en maintenance active et qui utilisent actuellement un produit Serv-U, la société propose une aide par le biais du service client. Pour vérifier si une organisation est compromise en raison de cette vulnérabilité, SolarWinds énumère un certain nombre de suggestions et de questions pour les administrateurs.
« Votre environnement lance-t-il des exceptions ? Cette attaque est une attaque de type ROP (Return Oriented Programming). Lorsqu’elle est exploitée, la vulnérabilité fait en sorte que le produit Serv-U lève une exception, puis intercepte le code de traitement des exceptions pour exécuter des commandes. Veuillez noter qu’il existe plusieurs raisons pour lesquelles des exceptions peuvent être lancées, de sorte qu’une exception en soi n’est pas nécessairement un indicateur d’attaque », explique la direction de SolarWinds.
« Veuillez collecter le fichier journal DebugSocketlog.txt. A l’intérieur, vous pourrez y voir une exception, comme 07] Tue 01Jun21 02:42:58 – EXCEPTION : C0000005 ; CSUSSHSocket::ProcessReceive() ; Type : 30 ; puchPayLoad = 0x041ec066 ; nPacketLength = 76 ; nBytesReceived = 80 ; nBytesUncompressed = 156 ; uchPaddingLength = 5 », ajoute la société, notant que les exceptions « peuvent être lancées pour d’autres raisons, alors veuillez collecter les journaux pour vous aider à déterminer votre situation ».
Une cible de choix
SolarWinds ajoute que les administrateurs doivent rechercher « les connexions via SSH à partir des adresses IP suivantes, signalées comme des indicateurs potentiels de cyberattaque : 98.176.196.89 ou 68.235.178.32, ou encore rechercher les connexions via TCP 443 à partir de l’adresse IP suivante : 208.113.35.58 ».
Les vulnérabilités des logiciels du fournisseur SolarWinds ont été exploitées à plusieurs reprises au cours de l’année dernière. La société a fait les gros titres en décembre, lorsque des pirates commandités par le Kremlin ont compromis son réseau et déployé des mises à jour malveillantes de sa plateforme logicielle de surveillance et de gestion centralisée Orion, via une porte dérobée appelée Sunburst.
La cyberattaque en question – une attaque par rebond potentiellement soutenue par l’Etat russe – a vu des pirates utiliser le logiciel de surveillance informatique d’entreprise de SolarWinds pour déployer des logiciels malveillants chez un certain nombre de grands fournisseurs technologiques américains. Parmi les victimes : Microsoft, FireEye (qui possède Mandiant), Mimecast, Palo Alto Networks, Qualys, Malwarebytes et Fidelis. En mars, des cyberattaquants soutenus par le gouvernement chinois ont également lancé une autre attaque contre un serveur SolarWinds.
Source : ZDNet.com
