Vidéo : Selon SolarWinds, 18 000 clients ont été touchés par la cyberattaque

by admin
Vidéo : Selon SolarWinds, 18 000 clients ont été touchés par la cyberattaque

Le fournisseur de logiciels informatiques SolarWinds a minimisé sa récente faille de sécurité, selon des documents déposés lundi auprès de la Commission américaine des opérations boursières (US Securities and Exchange Commission).

SolarWinds a révélé dimanche qu’un groupe de pirates informatiques a pénétré dans son réseau et inséré des logiciels malveillants dans les mises à jour d’Orion, une application logicielle de gestion et de surveillance de l’inventaire informatique.

Les versions 2019.4 à 2020.2.1 de l’application Orion, publiées entre mars 2020 et juin 2020, ont été infectées par des logiciels malveillants, explique SolarWinds dans un avis de sécurité. Cette mise à jour compromise a permis aux attaquants de déployer des logiciels malveillants sur les réseaux des clients de SolarWinds.

publicité

Seulement 18 000 des 300 000 clients concernés

Dans les documents, SolarWinds affirme que sur ses 300 000 clients, au total, seuls 33 000 utilisaient Orion, et que moins de 18 000 d’entre eux auraient installé la mise à jour contenant le logiciel malveillant. L’entreprise ajoute qu’elle a informé les 33 000 clients dimanche, même ceux qui n’avaient pas installé la mise à jour compromise, en leur donnant des informations sur le piratage et les mesures d’atténuation qu’ils pouvaient prendre.

Dans un avis de sécurité publié dimanche, et dans des documents déposés auprès de la SEC, SolarWinds précise qu’elle prévoit de publier mardi une mise à jour d’Orion qui contiendra un code permettant de supprimer toute trace du logiciel malveillant des systèmes des clients.

Si les clients ne peuvent pas attendre jusqu’à mardi, Microsoft, FireEye, et la US Cybersecurity and Infrastructure Agency (CISA) ont également publié dimanche des rapports techniques contenant des instructions sur la manière d’identifier les traces du malware SolarWinds Orion (nommé SUNBURST par FireEye et Solarigate par Microsoft), de le supprimer des systèmes et de détecter si les pirates ont profité de l’attaque pour se déplacer sur les réseaux internes.

En France, le CERT-FR a publié hier soir une alerte concernant cette mise à jour, et donne plusieurs recommandations pour sécuriser les systèmes des utilisateurs d’Orion potentiellement affectés par ce piratage.

Le compte de messagerie électronique de SolarWinds Office 365 a également été compromis

Si des détails ont été donnés sur la façon dont les pirates ont exploité SolarWinds pour infecter les réseaux de clients, SolarWinds n’a pas encore expliqué comment les pirates ont infiltré son propre réseau. L’entreprise ajoute avoir appris de Microsoft que ses comptes de messagerie Office 365 ont également été compromis.

La société précise qu’elle enquête actuellement pour savoir si les attaquants ont utilisé l’accès aux comptes de messagerie électronique pour voler les données des clients.

SolarWinds n’a pas spécifiquement indiqué que la compromission de compte de messagerie a permis aux pirates d’accéder à l’infrastructure de serveur prenant en charge le mécanisme de mise à jour de l’application Orion.

Un des piratages les plus conséquents de ces dernières années

Le piratage de la plateforme SolarWinds Orion s’avère être l’un des plus importants de ces dernières années. Actuellement, la faille de sécurité de SolarWinds a été utilisée dans des piratages de l’entreprise de sécurité américaine FireEye, du département du Trésor américain et de l’Administration nationale des télécommunications et de l’information (NTIA) du département du Commerce américain.

L’ampleur du piratage pourrait cependant être bien pire. Forbes indique que SolarWinds est un contractant majeur du gouvernement américain, avec des clients réguliers comme la CISA, le Cyber Commandement américain, le département de la Défense, le bureau fédéral d’investigation (FBI), le département de la Sécurité intérieure, les Anciens Combattants, et bien d’autres.

En outre, FireEye, qui enquête sur l’incident dans le cadre de sa propre faille de sécurité, affirme que les attaquants ont également compromis des cibles dans le monde entier, et pas seulement aux Etats-Unis, y compris des gouvernements et des entreprises du secteur privé dans plusieurs pays.

Un petit nombre de cibles de grande valeur

Malgré tout, Reuters rapporte que, malgré une large base d’installation de la plateforme Orion, les attaquants semblent s’être concentrés uniquement sur un petit nombre de cibles de grande valeur.

Plusieurs administrateurs informatiques affirment aujourd’hui avoir trouvé des signes de la mise à jour Orion sur leurs systèmes, mais pas de signes de charges utiles de deuxième étape, généralement utilisées par les attaquants pour obtenir l’accès à d’autres systèmes et aux réseaux internes des clients.

SolarWinds précise qu’au cours des trois premiers trimestres de 2020, les revenus de la gamme de produits Orion ont rapporté environ 343 millions de dollars, soit environ 45 % du revenu total de l’entreprise. Mais si les clients finissent par abandonner l’application, les retombées de cette faille de sécurité auront également un impact majeur sur les résultats de SolarWinds.

Source : ZDNet.com

Leave a Reply

Related Posts

You May Missed

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading