Ordinateurs

Chercheur en sécurité : le mot de passe « solarwinds123 » reste vulnérable en 2019 – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

La saga SolarWinds ne cesse de s’aggraver au fil du temps. Il y a quelques jours, la nouvelle a annoncé que quelque 18 000 entreprises avaient été compromises par un acteur de l’État-nation. Les attaquants en question seraient affiliés à Cozy Bear, alias APT29, alias le gouvernement russe. Le piratage a touché plusieurs agences gouvernementales américaines, la société de sécurité FireEye et de nombreuses autres sociétés.

Lorsque ces types de violations se produisent, une question majeure est de savoir comment les pirates ont pu entrer en premier lieu. SolarWinds est une grande entreprise américaine qui développe des logiciels de gestion de réseau et d’infrastructure, et elle a une énorme liste de clients. Il semble que les chercheurs en sécurité essaient depuis un certain temps d’amener l’entreprise à prêter attention aux failles majeures de ses défenses.

Le chercheur en sécurité Vinoth Kumar a déclaré Reuter qu’il a contacté l’entreprise en 2019, l’alertant que n’importe qui pouvait accéder à son serveur de mise à jour en devinant le mot de passe « solarwinds123 ». Reuters rapporte également que des pirates prétendant qu’ils pouvaient vendre l’accès aux ordinateurs de SolarWinds depuis 2017. Il n’est pas clair d’après le libellé de l’histoire si l’offre concernait une méthode d’infiltration de SolarWinds lui-même, ou si le chapeau noir proposait de vendre l’accès à ordinateurs qui utilisaient le logiciel SolarWinds.

Ensuite, il y a cette friandise:

« Kyle Hanslovan, cofondateur de Huntress, société de cybersécurité basée dans le Maryland, a remarqué que, quelques jours après que SolarWinds eut réalisé que son logiciel avait été compromis, les mises à jour malveillantes étaient toujours disponibles au téléchargement.

Le paragraphe précédent m’a laissé penser que ce livre pourrait être utile un jour.

Je tiens à préciser que ce mot de passe spécifique est ne pas considéré comme le moyen par lequel Cozy Bear a accédé à l’outil de gestion de réseau SolarWinds, surnommé Orion, mais cela témoigne d’une terrible culture de sécurité au sein de l’entreprise, compte tenu des besoins de sécurité des données de ses clients. Parce qu’Orion est souvent utilisé pour gérer les routeurs et les commutateurs à l’intérieur des grands réseaux d’entreprise, la pénétration du logiciel a donné aux black hats une merveilleuse fenêtre sur le trafic réseau externe et interne de près de 20 000 entreprises, agences fédérales et autres types d’organisations.

Parce que l’enquête est toujours en cours, il y a beaucoup de choses que nous ignorons, mais environ 33 000 clients sur une clientèle totale de 330 000 clients auraient déployé Orion. Si les chiffres de SolarWinds sont exacts, cela signifie que jusqu’à 54 % de la clientèle du produit peut être compromise. Nous savons qu’APT29 n’a pas directement compromis le référentiel de code source de SolarWinds ; l’attaque visait le système de construction du logiciel.

Psssssst :  Les ventes mondiales de PC pourraient chuter de 30 % au premier semestre 2020, les perspectives économiques sont sombres

FireEye décrit la voie d’infection comme suit :

Le fichier de mise à jour protégé par un cheval de Troie est un fichier de correctif Windows Installer standard qui inclut des ressources compressées associées à la mise à jour, y compris le composant SolarWinds.Orion.Core.BusinessLayer.dll protégé par un cheval de Troie. Une fois la mise à jour installée, la DLL malveillante sera chargée par le SolarWinds.BusinessLayerHost.exe ou SolarWinds.BusinessLayerHostx64.exe légitime (selon la configuration du système). Après une période de dormance pouvant aller jusqu’à deux semaines, le logiciel malveillant tentera de résoudre un sous-domaine de avsvmcloud[.]com.

Les pirates qui ont réussi cette attaque sont très, très bien. De nouvelles informations suggèrent qu’ils étaient à l’origine d’une série d’attaques contre un groupe de réflexion particulier en 2019 et 2020. Ars Technica a Suite à ce sujet (c’est un peu tangentiel à SolarWinds, mais utile si vous voulez en savoir plus sur ce que Cozy Bear a fait et les tactiques qu’il utilise).

Les actualités se sont multipliées ces derniers jours. SolarWinds a supprimé sa liste de clients de haut niveau, peut-être pour les protéger de la mauvaise publicité. Microsoft et certains de ses partenaires industriels ont saisi le domaine de commande et de contrôle utilisé pour faire fonctionner les machines compromises.

L’enquête sur ce piratage est toujours en cours et nous ne connaissons pas encore les détails de la façon dont cela s’est produit, mais les attaques de cette ampleur et de cette complexité sont généralement très graves. Le logiciel compromis de SolarWinds a été utilisé pour pénétrer le CDC, le Département de la sécurité intérieure, le Département de la justice, le Pentagone et le Département d’État. Les enquêteurs s’attendent à découvrir plusieurs vecteurs d’attaque, plutôt qu’un seul point d’attaque.

Psssssst :  Intel Records Records 2020, construira « la plupart » 7 nm dans ses propres usines

Des enquêtes sur le piratage sont en cours à tous les niveaux, mais la United States Cyber ​​Infrastructure and Security Agency perd actuellement la tête parce que le président Donald Trump a limogé Christopher Krebs pour avoir refusé d’approuver ou de soutenir ses allégations sans fondement de fraude électorale. On craint également depuis longtemps que la CISA ne dispose pas de ressources suffisantes pour répondre à une crise de cette ampleur et de cette ampleur.

« Nous allons bien en ce moment », un employé anonyme de la CISA Raconté Politico, mais « cela semble susceptible de changer… De nombreuses agences ne savent pas encore à quel point elles sont en feu. »

Cette histoire se développe au jour le jour, au fur et à mesure que de nouvelles informations apparaissent. Le mot de passe faible sur le serveur de mise à jour de SolarWinds, bien qu’il ne soit peut-être pas directement responsable de la situation difficile actuelle de l’entreprise, en dit peu sur la situation de sécurité sous-jacente.

Maintenant lis:

Bouton retour en haut de la page