SolarWinds Sunburst Attack

Le sujet du jour ?

Protection contre Sunburst Indicateur de compromis avec le Lentille de menace, X sécurisé et Parapluie approcher. Implémentation du filtrage DNS de la porte dérobée Sunburst.

 

Cisco Umbrella - Multiple security functions in a single cloud security service

Fond?

Sécurité les chercheurs ont découvert une cyberattaque contre la chaîne d'approvisionnement d'un conglomérat multinational basé aux États-Unis appelé Solarwinds.

L'attaque contre Solarwinds, qui est l'un des principaux fournisseurs de produits logiciels de gestion de réseau et de sécurité au niveau de l'entreprise, illustre comment une organisation peut être soumise à des attaques de chaîne d'approvisionnement. Avec de plus en plus d'organisations s'appuyant sur des fournisseurs pour leurs produits et services, il est important de se protéger contre ces risques.

Fournir attaques en chaîne sont une préoccupation majeure pour les entreprises des secteurs de la fabrication et de la distribution. Alors que de plus en plus d'entreprises adoptent les technologies de surveillance à distance et d'IoT, elles ont ouvert leurs processus aux vulnérabilités accrues des fournisseurs tiers. Le meilleur moyen de protéger votre entreprise contre ces menaces consiste à utiliser une surveillance passive de la sécurité du périmètre et des contre-mesures proactives. Je vais explorer l'une de ces options ci-dessous.

Qu'est-ce que Sunburst ?

SUNBURST est une attaque sophistiquée de la chaîne d'approvisionnement, où des adversaires ont compromis les mises à jour du logiciel de surveillance et de gestion informatique Orion de SolarWind, en particulier un composant appelé « SolarWinds.Orion.Core.BusinessLayer.dll » dans les versions 2019.4 HF 5 à 2020.2.1.

Les mises à jour signées numériquement ont été publiées sur le site Web de SolarWinds de mars à mai 2020. Cette porte dérobée a été nommée SUNBURST et peut communiquer avec des serveurs tiers à l'aide de HTTP. En savoir plus ici.

Qu'avons-nous fait pour nous protéger ?

En intégrant Umbrella dans notre périmètre de défense, nous sommes en mesure d'analyser en permanence notre réseau pour détecter l'évolution des compromis et détecter tout nœud tentant de communiquer avec des systèmes adverses.

La chaîne d'approvisionnement des entreprises est une préoccupation majeure pour nous car à ce niveau, ces produits ont tendance à résider en dehors ou à faire partie du périmètre de sécurité. Les entreprises doivent renforcer la sécurité autour de ces systèmes et infrastructures, et être plus prudentes vis-à-vis des fournisseurs tiers. Adopter une méthodologie zéro confiance même pour vos mesures de sécurité. On pense que les attaques de la chaîne d'approvisionnement sont l'endroit où les nouvelles menaces sont les plus susceptibles de se développer à l'avenir. C'est à ces endroits qu'ils ont le moins de contrôle et de visibilité sur ce qui se passe avec leurs données. Il n'y a pas que la menace d'une cyberattaque qui doit être prise en compte : les attaques physiques peuvent également causer des dommages et des pertes importants aux entreprises.

Pour SUNBURST, notre Threat Lens a été mis à jour pour afficher la résolution DNS des domaines dans la liste SUNBURST Indicator of Compromise (IOC), avant même que les domaines ne soient découverts dans le cadre de la porte dérobée SUNBURST. Nous sommes alors en mesure d'examiner nos journaux pour les signatures précédentes et de bloquer les nouveaux domaines à l'avenir. Nous pouvons afficher la résolution DNS de ces domaines sur n'importe quelle période au cours des 12 derniers mois.

laptop computer

SUNBURST En profondeur

SUNBURST a compromis les mises à jour du logiciel de gestion de SolarWind, en particulier un composant appelé « SolarWinds.Orion.Core.BusinessLayer.dll » dans les versions 2019.4 HF 5 à 2020.2.1. Cette porte dérobée, nommée SUNBURST, communique avec des serveurs tiers via HTTP. La porte dérobée est chargée par le véritable exécutable SolarWinds avant le code légitime, afin de ne pas alerter la victime que quelque chose ne va pas. Après une période de dormance, la porte dérobée est capable d'exécuter des commandes pour transférer et exécuter des fichiers, profiler le système, redémarrer la machine et désactiver les services système. Des échantillons SUNBURST ont été observés déployant diverses charges utiles, y compris les balises Cobalt Strike.

L'inquiétude suscitée par ces attaques se concentre sur la confidentialité des clients. Les logiciels utilisés pour gérer ces systèmes sont également utilisés pour enregistrer l'utilisation du système à des fins d'évaluation de la conformité et des risques. Ils peuvent également être utilisés pour verrouiller, chiffrer ou effacer des ordinateurs et masquer les abus potentiels. Les pirates ciblant ces entreprises, qui détiennent de précieuses bases de données clients pouvant être vendues sur le dark web, peuvent utiliser ces attaques pour dissimuler l'installation de logiciels malveillants plus persistants. Doubler l'avantage des entreprises qui ne disposent pas de mesures de sécurité internes robustes.

Anonymous cyber user

Vous voulez plus d'informations ?

Pour plus d'informations sur SUNBURST et le filtrage DNS de la porte dérobée Sunburst, veuillez consulter le blog Talos ici : https://blog.talosintelligence.com/2020/12/solarwinds-supplychain-coverage.html

Pour plus d'informations sur l'Avis de sécurité SolarWinds, consultez ici

Résumé du blog Fireeye Threat Research de décembre 2020, voir ici

 

Abinyah marcheur

Avec plus de vingt ans d'expérience dans les technologies : programmation informatique, réseaux, DevOps & SecOps, gestion de projets informatiques, photographie & design. Découvrez son travail sur abinyah.com, sa photographie à 85mm.ca ou des projets DeFi à L'échange .

Gagnant du prix

5-stars-white