Vulnérabilité : Port dérobée sur le logiciel Orion de Solarwind

Date de publication :

Une large campagne d’infection concernant le logiciel Orion IT Monitoring and Management de Solarwind a été découverte par l’entreprise FireEye. Elle a commencé en Mars 2020. 

Cette campagne a pour origine la CVE-2020-10148.

CVE-2020-10148 [Score CVSS v3 : 9.8] : Une vulnérabilité dans l'API de Solarwind Orion peut permettre à un attaquant distant et non-authentifié de contourner les mécanismes d'authentification du service.

Le fichier SolarWinds.Orion.Core.BusinessLayer.dll est un composant contenant une porte dérobée qui communique via http à des serveurs tiers. Ce fichier est utilisé comme Cheval de Troie, baptisé SunBurst. 

Plusieurs mises à jour malveillantes du logiciel ont été postées sur le site de Solarwind entre Mars et Mai 2020. Ces mises à jour contiennent le Cheval de Troie SolarWinds.Orion.Core.BusinessLayer.dll.  

Après une période de veille d’environ deux semaines, SunBurst à la possibilité de créer, d’exécuter, de supprimer et de transférer des fichiers, d’analyser le système du dispositif infecté, de redémarrer le dispositif infecté et de manipuler les processus du dispositif infecté. Ce virus utilise le protocole OIP légitime (Orion Improvement Program) afin que son trafic réseau se fonde dans le trafic légitime des autres processus de SolarWind.

La tâche de SunBurst se résume à l’installation d’un injecteur fonctionnant sur RAM appelé TEARDROP. Cette injecteur déploie un malware Cobalt Strike Beacon. TEARDROP est un injecteur fonctionnant uniquement sous forme d’un service, son code source est unique et n’est donc pas issu d’une technologie connue.

Un bulletin d'alerte de l'ANSSI fait également état de cette menace : 
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-026/

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Contournement d'authentification
  • Déni de service
  • Suppression de fichiers arbitraires
  • Injection de code arbitraire
  • Exposition/Vol de données sensibles
  • Violation des politiques de sécurité

Criticité

  • Score CVSS v3 : 9.8

Existence d’un code d’exploitation

  • N/A

Composants vulnérables

  • Solarwind Orion IT Monitoring and Management 2019.4 HF 5 
  • Solarwind Orion IT Monitoring and Management 2020.2 with no hotfix installed
  • Solarwind Orion IT Monitoring and Management or 2020.2 HF 1

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

Selon la version de SolarWinds utilisée : 

  • Installer la mise à jour Orion Platform release 2020.2.1 HF 2

  • Installer la mise à jour Orion Platform 2019.4 HF 6

Les correctifs de sécurité sont disponible ici : https://www.solarwinds.com/securityadvisory

Solution de contournement

  • Plusieurs indicateurs de compromission sont proposés par FireEye sur la page en référence de ce bulletin.

  • FireEye propose, sur son github, plusieurs règles Yara et Snort afin de détecter SunBurst et TEARDROP.

  • Isoler les serveurs SolarWinds d’internet et du réseau interne jusqu’à une investigation des dispositifs.

  • Le cas échéant où les serveurs SolarWinds ne peuvent être isolés :

    • Restreindre les connexions aux terminaux des serveurs SolarWinds, en particulier ceux qui seraient considérés comme des actifs de niveau 0.

    • Restreindre le nombre de comptes dont l'administrateur local est privilégié sur les serveurs SolarWinds.

    • Bloquer les connexions sortantes vers internet des serveurs ou d'autres points de terminaison du logiciel SolarWinds.

  • Changer les mots de passe des comptes ayant accès à des serveurs SolarWinds.

  • Si SolarWinds est utilisé pour le gestion de l'infrastructures réseau :

    • Analyser les configurations des dispositifs réseau afin de vérifier qu’aucune modification non-autorisée n’a été appliquée.

Liens