Sélection de la langue

Alerte - Incident de sécurité lié à SolarWinds

Numéro : AL20-029
Date : 14 décembre 2020

AUDITOIRE

La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

OBJET

Une alerte a pour objet de prévenir les destinataires relativement à des cybermenaces qui ont été relevées récemment et qui pourraient peser sur les fonds d’information électronique. Elle vise également à leur fournir un complément d’information en matière de détection et d’atténuation. Sur demande, le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) offre également aux destinataires une assistance additionnelle concernant la teneur de la présente alerte.

VUE D’ENSEMBLE

Le 13 décembre 2020, SolarWinds a publié un bulletin de sécurité dans lequel il fait état d’activités malveillantes récentes touchant sa plateforme Orion et découlant d’une compromission de la chaîne d’approvisionnement [1]. FireEye a publié un rapport sur la vaste campagne qu’a menée un auteur de menace « très furtif » dans le but d’obtenir l’accès aux systèmes de nombreuses organisations des secteurs public et privé partout dans le monde. [2]

DÉTAILS

FireEye a signalé avoir découvert une campagne d’intrusion à l’échelle mondiale découlant d’une compromission de la chaîne d’approvisionnement. En dissimulant un cheval de Troie dans les mises à jour logicielles de la plateforme Orion de SolarWinds, les auteurs de menace ont réussi à distribuer des maliciels. Cette campagne a peut-être commencé dès le printemps 2020, et FireEye affirme qu’elle se poursuit. Les activités menées à la suite de la compromission reposent sur de multiples techniques permettant d’échapper à la détection et de brouiller les pistes, notamment en ce qui concerne les déplacements latéraux et le vol de données. FireEye a également présenté une analyse détaillée et des mesures de détection. [2][3]

ATTÉNUATION

SolarWinds a publié des orientations sur la façon dont les organisations peuvent déterminer la version de la plateforme Orion qu’elles utilisent [4] et les correctifs d’urgence qui ont été appliqués. [5] Si une organisation n’est pas en mesure d’effectuer les mises à niveau immédiatement, il conviendra de suivre les lignes directrices sur la sécurisation d’une instance de la plateforme Orion. [6]

Un correctif d’urgence additionnel, la version 2020.2.1 HF 2, devrait être publié le mardi 15 décembre 2020. SolarWinds recommande à tous ses clients d’appliquer la mise à jour 2020.2.1 HF 2 dès qu’elle sera disponible, car cette version remplace le composant compromis et fournit plusieurs autres améliorations sur le plan de la sécurité.

Les recommandations ci-dessous sont formulées par FireEye et comportent des mesures d’atténuation qu’il conviendrait de déployer comme première étape pour gérer les risques liés aux logiciels SolarWinds « transformés » en chevaux de Troie dans un environnement donné. Le Centre pour la cybersécurité encourage les organisations à passer en revue les recommandations ci-dessous et à mettre en œuvre celles qui s’appliquent en fonction de leur évaluation des risques.

  • Veiller à ce que les serveurs SolarWinds soient isolés / contenus jusqu’à ce qu’un examen et une enquête soient effectués. Il s’agit notamment de bloquer toute sortie Internet depuis les serveurs  SolarWinds.
  • Si l’infrastructure SolarWinds n’est pas isolée, envisager de prendre les mesures suivantes :
    • Restreindre la portée de la connectivité aux points terminaux depuis les serveurs SolarWinds, surtout ceux qui seraient considérés comme des actifs de niveau 0 ou des « joyaux de la couronne ».
    • Restreindre la portée des comptes qui ont des privilèges d’administrateur local sur les serveurs SolarWinds.
    • Bloquer la sortie Internet depuis les serveurs ou autres points terminaux exécutant des logiciels SolarWinds.
  • Envisager (au minimum) de modifier les mots de passe des comptes qui ont accès aux serveurs ou à l’infrastructure SolarWinds. Il conviendra peut-être de mettre en œuvre d’autres mesures correctives à la suite d’une enquête ou d’un examen plus approfondi.
  • Si les solutions SolarWinds sont utilisées pour gérer l’infrastructure réseau, envisager d’examiner la configuration des appareils réseau pour détecter toute modification inattendue ou non autorisée. Il convient de noter qu’il s’agit d’une mesure proactive recommandée en raison de l’étendue des fonctionnalités SolarWinds; elle n’est pas fondée sur des constatations d’enquêtes.

FireEye a également fourni d’autres indicateurs pour aider le personnel responsable de la défense du réseau à détecter les activités malveillantes. [3]

Si des activités malveillantes sont détectées dans un environnement, FireEye recommande de mener une enquête exhaustive, puis d’établir et de mettre en œuvre une stratégie de correction en fonction des constatations de l’enquête et des éléments propres à l’environnement touché.

On invite les destinataires à communiquer avec le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788) s’ils relèvent des activités similaires à ce qui est présenté dans la présente alerte.

RÉFÉRENCES

[1] Bulletin de sécurité de SolarWinds
https://www.solarwinds.com/securityadvisory (en anglais)

[2] Billet de blogue intitulé Highly Evasive Attacker Leverages SolarWinds Supply Chain
https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html (en anglais)

[3] Contremesures SunBurst
https://github.com/fireeye/sunburst_countermeasures (en anglais)

[4] Page Web Determine which version of a SolarWinds Orion product I have installed
https://support.solarwinds.com/SuccessCenter/s/article/Determine-which-version-of-a-SolarWinds-Orion-product-I-have-installed?language=en_US (en anglais)

[5] Page Web Verify hotfixes that have been installed
https://support.solarwinds.com/SuccessCenter/s/article/Verify-hotfixes-that-have-been-installed?language=en_US  (en anglais)

[6] Secure Configuration for the Orion Platform
https://www.solarwinds.com/-/media/solarwinds/swdcv2/landing-pages/trust-center/resources/secure-configuration-in-the-orion-platform.ashx?rev=32603e0c87d84085b081f99a33fe5f4d&hash=62A998B9753957D82BC0F07005D38368 (en anglais)

[7] Customer Guidance on Recent Nation-State Cyber Attacks
https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/ (en anglais)

NOTE AUX LECTEURS

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications.  Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences en découlant. Ce faisant, il offre conseils et soutien d’expert et coordonne les communications d’information et l’intervention en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et resilient.

Date de modification :