Alerte - Recommandations relatives à la compromission de la chaîne d’approvisionnement SolarWinds - Mise à Jour 1

Numéro : AL20-031 MISE À JOUR 1
Date : 30 décembre 2020

AUDITOIRE

La présente alerte est destinée aux professionnels des TI et aux gestionnaires des organismes avisés.

OBJET

Une alerte a pour objet de prévenir les destinataires relativement à des cybermenaces qui ont été relevées récemment et qui pourraient peser sur les fonds d’information électronique. Elle vise également à leur fournir un complément d’information en matière de détection et d’atténuation. Au reste, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

VUE D’ENSEMBLE

Le 13 décembre 2020, SolarWinds a fait état d’une activité malveillante récente touchant sa plateforme Orion [1] et des clients de grande notoriété, dont FireEye et le gouvernement des États-Unis. Cette activité est le résultat de la compromission d’une chaîne d’approvisionnement du produit, qui a été menée par un auteur de menace hautement sophistiqué. On estime que des organismes gouvernementaux et diverses organisations au Canada et à l’étranger ont également été touchés.

DÉTAILS

Le 13 décembre 2020, SolarWinds a fait état d’une vulnérabilité touchant son logiciel Orion, qui a été associée à une activité malveillante précédemment détectée. [1] Le même jour, un rapport de source ouverte a indiqué que le Département du Trésor des É.-U. et possiblement d’autres départements du gouvernement américain avaient été compromis. FireEye, un cabinet spécialisé dans la recherche en cybersécurité, a également annoncé qu’il avait été compromis. [2]

FireEye a signalé avoir découvert une campagne d’intrusion à l’échelle mondiale découlant d’une compromission de la chaîne d’approvisionnement. En dissimulant un cheval de Troie dans les mises à jour logicielles de la plateforme Orion de SolarWinds, les auteurs de menace ont réussi à distribuer des maliciels. Cette campagne a peut-être commencé dès le printemps 2020, et FireEye affirme qu’elle est toujours en cours. Les activités menées à la suite de la compromission reposent sur de multiples techniques permettant d’échapper à la détection et de brouiller les pistes, notamment en ce qui concerne les déplacements latéraux et le vol de données.

Alors que la collectivité de la cybersécurité continue d’analyser l’activité, il a été possible d’obtenir des renseignements supplémentaires en ce qui concerne la détection et la correction. Le Centre pour la cybersécurité publie la présente alerte dans le but d’offrir des conseils fondés sur son analyse, sa participation aux efforts d’atténuation et les discussions qu’il a menées avec les secteurs privé et public du Canada, et ses partenaires internationaux. Dans le cadre de ces interactions, le Centre pour la cybersécurité a été informé que les sous-domaines de l’algorithme de génération de noms de domaine (DGA pour Domain Generation Algorithm) utilisés pour chaque activité étaient uniques à chacune des compromissions. Le Centre pour la cybersécurité collabore avec la collectivité de la cybersécurité pour identifier les systèmes touchés et informer les propriétaires de systèmes canadiens, le cas échéant. Il n’a pas encore été possible de déterminer les conséquences de cet incident sur les systèmes compromis, mais l’analyse se poursuit.

MISE À JOUR

 

Le 26 décembre 2020, le Centre de coordination de l’Équipe d'intervention en cas d'urgence informatique a publié une alerte décrivant une vulnérabilité dans l’interface de programmation d'applications (API) de la plateforme Orion de SolarWinds. Le Centre pour la cybersécurité souhaite également communiquer la liste des versions d’Orion qui sont touchées par SUNBURST et par SUPERNOVA. Pour plus de détails, veuillez consulter la section intitulée « Porte dérobée SUPERNOVA » de la présente alerte.

 

RECOMMANDATIONS

La portée de la vulnérabilité liée à la plateforme Orion de SolarWinds et des compromissions connexes est considérable et il est capital que les organisations procèdent à une analyse approfondie de leurs réseaux afin de s’assurer que les auteurs malveillants ont été éliminés du point de compromission initial et de tout système potentiellement infecté. Le Centre pour la cybersécurité recommande aux utilisateurs de logiciels Orion de SolarWinds de suivre les étapes de détection et de correction ci-dessous pour évaluer les incidences éventuelles sur leurs réseaux. Le Centre pour la cybersécurité recommande fortement aux organisations de se conformer à leurs propres évaluations des risques en ce qui concerne les mesures d’atténuation et de reprise des activités.

DÉTECTION

Les organisations devraient d’abord identifier tout système exécutant des logiciels Orion de SolarWinds compromis et les isoler d’Internet immédiatement. SolarWinds a déterminé que les versions ci-dessous avaient été compromises :

• plateforme 2019.4 HF5, version 2019.4.5200.9083;
• plateforme 2020.2 RC1, version 2020.2.100.12219;
• plateforme 2020.2 RC2, version 2020.2.5200.12394;
• plateforme 2020.2, 2020.2 HF1, version 2020.2.5300.12432.

Par ailleurs, les systèmes qui ont, à tout moment, exécuté l’une des versions compromises de SolarWinds mentionnées précédemment devraient également être isolés d’Internet sans tarder et être analysés pour tout signe de compromission.

Le Centre pour la cybersécurité recommande aux organisations de poursuivre la surveillance des systèmes Orion de SolarWinds ou des systèmes qui y accèdent afin de détecter toute activité anormale. Les exemples d’activité anormale comprennent, sans s’y limiter, les techniques du cadre MITRE ATT&CK® ci-dessous, qui ont été employées par l’auteur de menace selon ce qui est indiqué dans l’alerte de la CISA (AA20-352A).[3]

• Registre de requêtes [T1012] (en anglais seulement)
• Fichiers ou information obfusqués [T1027] (en anglais seulement)
• Fichiers ou information obfusqués : Stéganographie [T1027.003] (en anglais seulement)
• Découverte de processus [T1057] (en anglais seulement)
• Élimination des indicateurs sur l’hôte : Suppression de fichiers [T1070.004] (en anglais seulement)
• Protocole de la couche Application : Protocoles Web [T1071.001] (en anglais seulement)
• Protocole de la couche Application : DNS [T1071.004] (en anglais seulement)]
• Découverte de fichiers et de répertoires [T1083] (en anglais seulement)
• Transfert d’outils d’entrée [T1105] (en anglais seulement)
• Encodage de données : Encodage standard [T1132.001] (en anglais seulement)
• Compromission de la chaîne d’approvisionnement : Compromission des dépendances logicielles et des outils de développement [T1195.001] (en anglais seulement)
• Compromission de la chaîne d’approvisionnement : Compromission de la chaîne d’approvisionnement des logiciels [T1195.002] (en anglais seulement)
• Découverte de logiciels [T1518] (en anglais seulement)
• Découverte de logiciels : Logiciel de sécurité [T1518.001] (en anglais seulement)
• Créer ou modifier des processus système : Service Windows [T1543.003] (en anglais seulement)
• Contourner des contrôles approuvés : Signature de code [T1553.002] (en anglais seulement)
• Résolution dynamique : Algorithmes de génération de noms de domaine [T1568.002] (en anglais seulement)
• Services système : Exécution de services [T1569.002] (en anglais seulement)
• Infrastructure compromise [T1584] (en anglais seulement)

Microsoft a également signalé des tentatives menées par des auteurs de menace pour établir une présence à long terme au moyen de comptes compromis ou de la falsification des jetons SAML (Security Assertion Markup Language). Microsoft a fait état dans son rapport de quatre grandes conclusions, dont trois faisant mention d’activités post-compromission découlant de l’exploitation malveillante du langage SAML. [4]

• Une fois sur le réseau, l’intrus utilise les autorisations administratives acquises au cours de la compromission locale pour obtenir accès au compte d’administrateur général de l’organisation et/ou au jeton SAML servant à signer les certificats. L’auteur de menace peut ainsi falsifier des jetons SAML de manière à se faire passer pour n’importe quel utilisateur ou compte de l’organisation, y compris un compte ayant un niveau de privilège élevé.
• Il est alors possible d’utiliser les jetons SAML créés au moyen du jeton compromis ayant servi à signer les certificats pour ouvrir une session anormale sur les ressources locales (peu importe le système ou le fournisseur d’identité) et les environnements en nuage (peu importe le fournisseur), puisque ces derniers ont été configurés de manière à faire confiance au certificat. Comme les jetons SAML sont signés avec leur propre certificat approuvé, l’organisation pourrait ne pas relever les anomalies.
• L’auteur de menace pourrait utiliser le compte d’administration général et/ou le certificat approuvé pour se faire passer pour un compte ayant un niveau de privilège élevé et ajouter ses propres justificatifs d’identité aux applications existantes ou aux principaux du service, ce qui lui permettrait d’appeler les API avec les autorisations accordées à cette application.

CORRECTION

Le Centre pour la cybersécurité recommande aux exploitants d’envisager les scénarios de compromission progressifs suivants pour déterminer de possibles mesures d’intervention. Ces dernières sont divisées en quatre scénarios fondés sur l’évaluation des incidences :

• Vérifier si le système Orion de SolarWinds touché comporte ce qui suit :
  • une variante malveillante du fichier : « solarwinds.orion.core.businesslayer.dll » (valeurs de hachage tirées de https://github.com/fireeye/sunburst_countermeasures/blob/main/indicator_release/Indicator_Release_Hashes.csv), qu’on appelle aussi « porte dérobée SUNBURST » ;
  • la capacité de résoudre les adresses accessibles par Internet depuis l’hôte.

Si le fichier est présent, il est recommandé d’adopter une des quatre solutions d’atténuation suivantes :

Scénario 1 – Si le système n’utilise pas la version comportant la porte dérobée SUNBURST, il convient de prendre les mesures d’atténuation suivantes :

• Appliquer les correctifs de la plus récente version recommandée par le fournisseur;
• Mettre en œuvre les pratiques exemplaires de l’industrie visant à renforcer les systèmes d’entreprise;
• Réintroduire le système dans l’environnement d’entreprise après avoir effectué une évaluation des risques rigoureuse.

Scénario 2 – Si la porte dérobée SUNBURST a été détectée, mais que le système n’avait pas la capacité de se connecter à Internet, le code malveillant SUNBURST n’a donc pas été en mesure de communiquer avec les hôtes malveillants et il convient de prendre les mesures d’atténuation suivantes :

• Continuer d’isoler le système et procéder à la reconstruction de la plateforme Orion de SolarWinds en utilisant les plus récentes versions recommandées par le fournisseur;
• Mettre en œuvre les pratiques exemplaires de l’industrie visant à renforcer les systèmes d’entreprise;
• Réintroduire le système dans l’environnement d’entreprise après avoir effectué une évaluation des risques rigoureuse.

Scénario 3 – Si la porte dérobée SUNBURST a été détectée et/ou qu’à la suite d’un examen des activités réseau, on constate que le système a résolu un sous-domaine de l’adresse avsvmcloud[.]com, il convient de prendre les mesures d’atténuation suivantes :

• Commencer à mettre en œuvre les procédures d’intervention en cas d’incident lié à la compromission d’un système;
• Suivre les mesures correctives détaillées mentionnées ci-dessous [2] [3] [5].

Scénario 4 – Si la porte dérobée SUNBURST a été détectée et/ou qu’à la suite d’un examen des activités réseau, on constate que le système a résolu un sous-domaine de l’adresse avsvmcloud[.]com ainsi que d’autres hôtes et adresses IP associés aux indicateurs de compromission de SUNBURST mentionnés ci-dessous, il convient de prendre les mesures d’atténuation suivantes :

• Supposer que tous les systèmes et justificatifs d’identité associés à la plateforme Orion ont été potentiellement compromis;
• Mettre en œuvre les mesures d’intervention sur le ou les réseaux touchés en faisant appel au cadre MITRE ATT&CK® mentionné précédemment pour relever toute activité anormale;
• Suivre les mesures correctives détaillées mentionnées ci-dessous [2] [3] [5].

INDICATEURS DE COMPROMISSION

Plusieurs partenaires et chefs de file de l’industrie ont fourni des référentiels contenant de l’information sur cette activité. Le Centre pour la cybersécurité recommande aux organisations de consulter les sources suivantes pour des mises à jour et des recommandations sur la meilleure façon de protéger leurs réseaux et leurs systèmes au niveau de l’hôte, ainsi que de possibles mesures d’intervention.

FireEye SUNBURST
https://github.com/fireeye/sunburst_countermeasures (en anglais seulement)

Solorigate Resource Center
https://msrc-blog.microsoft.com/2020/12/21/december-21st-2020-solorigate-resource-center/ (en anglais seulement)

Dark Halo Leverages SolarWinds Compromise to Breach Organizations
https://www.volexity.com/blog/2020/12/14/dark-halo-leverages-solarwinds-compromise-to-breach-organizations/ (en anglais seulement)

ANALYSE SUPPLÉMENTAIRE

Précautions supplémentaires

Qu’une compromission active ait été détectée ou non, le Centre pour la cybersécurité recommande aux administrateurs de réinitialiser les justificatifs d’identité de tout système utilisé actuellement pour s’authentifier auprès d’un serveur Orion de SolarWinds. Si l’adversaire a compromis les justificatifs d’identité d’un administrateur, il ne sera peut-être pas suffisant d’appliquer les mesures d’atténuation aux problèmes individuels, aux systèmes, aux serveurs ou aux comptes d’utilisateur particuliers pour bloquer l’accès de l’auteur malveillant au réseau. Dans de tels cas, selon le degré de sophistication de l’auteur de menace, les organisations devraient considérer que tout le magasin d’identités a été compromis. La reconstruction complète du magasin d’identités et de l’environnement constitue la mesure la plus sûre [3].

Au fur et à mesure que des analyses techniques sont effectuées et que des indicateurs de compromission sont découverts, de nouveaux mécanismes d’exploitation pourraient être détectés. Le Centre pour la cybersécurité recommande aux organisations de consulter les références comprises dans la présente alerte, puisqu’elles contiennent souvent d’importantes mises à jour.

Porte dérobée SUPERNOVA

Le 17 décembre, l’Unité 42 de Palo Alto Networks a publié un rapport faisant étant d’une nouvelle méthode d’exploitation utilisant une porte dérobée appelée SUPERNOVA, située dans un fichier DLL nommé App_Web_logoimagehandler.ashx.b6031896.dll. L’Unité 42 et Microsoft sont arrivées à la conclusion qu’on ne pouvait confirmer que cet interpréteur de commandes Web avait été exploité par les mêmes auteurs de menace sophistiqués que SUNBURST, et qu’un autre auteur malveillant était à l’origine de cette activité. [6] [7]

Bien que le Centre pour la cybersécurité n’ait pas observé cette activité, Microsoft indique que le code malveillant « permet à un attaquant d’envoyer et d’exécuter un programme C# arbitraire sur le dispositif de la victime ». Les méthodes de détection sont limitées, puisque la vulnérabilité se situe au niveau de l’interpréteur de commandes Web en mémoire, est compilée à la volée et est exécutée dynamiquement. L’Unité 42 a publié une analyse détaillée du code malveillant et de possibles méthodes de détection. [6]

Le 26 décembre 2020, le Centre de coordination de l’Équipe d'intervention en cas d'urgence informatique a publié une alerte décrivant une vulnérabilité du logiciel Orion de SolarWinds permettant à un auteur de menace distant et non authentifié d’exécuter des commandes API. Cette vulnérabilité (CVE-2020-10148) peut être corrigée en effectuant les mises à jour destinées à traiter le maliciel SUPERNOVA. [8] [1]

Le Centre pour la cybersécurité souhaite souligner que plusieurs versions de la plateforme Orion de SolarWinds, bien qu’elles n’aient pas été touchées par SUNBURST, ont été touchées par SUPERNOVA. Dans son alerte, SolarWinds a dressé la liste des versions d’Orion qui ont été touchées par SUNBURST et par SUPERNOVA. [1]

RÉFÉRENCES

[1] Bulletin de sécurité de SolarWinds
https://www.solarwinds.com/securityadvisory (en anglais seulement)

[2] Billet de blogue intitulé Highly Evasive Attacker Leverages SolarWinds Supply Chain
https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html (en anglais seulement)

[3] Alerte de la CISA (AA20-352A)
https://us-cert.cisa.gov/ncas/alerts/aa20-352a (en anglais seulement)

[4] Blogue intitulé Customer Guidance on Recent Nation-State Cyber Attacks
https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/ (en anglais seulement)

[5] Solorigate Resource Center
https://msrc-blog.microsoft.com/2020/12/21/december-21st-2020-solorigate-resource-center/ (en anglais seulement)

[6] SUPERNOVA: A Novel .NET Webshell
https://unit42.paloaltonetworks.com/solarstorm-supernova/ (en anglais seulement)

[7] Analyzing Solorigate, the compromised DLL file that started a sophisticated cyberattack, and how Microsoft Defender helps protect customers
https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect/ (en anglais seulement)

[8] Note VU#843464 du Centre de coordination de l’Équipe d'intervention en cas d'urgence informatique à propos de la vulnérabilité
https://kb.cert.org/vuls/id/843464 (en anglais seulement)

Si un organisme identifie une activité semblable à celles décrites plus haut, le destinataire de la présente alerte est encouragé à communiquer avec le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788).
 

NOTE AUX LECTEURS

Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences en découlant. C’est dans cette optique que nous prodiguons des conseils d’experts et offrons un soutien de premier plan, et que nous coordonnons la diffusion de l’information pertinente ainsi que les interventions en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.