CERTFR-2020-ALE-026
Vulnerability from certfr_alerte

\[Mise à jour du 28 décembre 2020\] Le 27 décembre 2020, l'avis SolarWinds a été mis à jour pour apporter des précisions sur SUPERNOVA, un "code encoquillé" (*webshell*) déposé et exécuté *via* l'exploitation d'une vulnérabilité corrigée dans les dernières versions d'Orion. \[Mise à jour du 23 décembre 2020\]

Le 17 décembre, Palo Alto a publié un rapport [6] dans lequel ils indiquent qu’un webshell a été identifié dans une autre bibliothèque présente dans le serveur Web de la solution Orion. Ce webshell, dénommé SUPERNOVA, a la particularité de ne pas requérir la transmission d’un code exécutable par l’attaquant mais un code source en .NET qui sera exécuté en mémoire sur le serveur sans laisser de traces sur le disque.

\[Version initiale\] Le 8 décembre 2020, FireEye a annoncé avoir découvert une campagne d'intrusion par le biais d'une compromission de mise à jour de la plateforme de gestion et de supervision Orion de SolarWinds. Cette plate-forme a servi de vecteur pour une attaque par la chaîne d'approvisionnement (*supply chain attack)*. Les mises à jour ont été altérées afin d'inclure un maliciel appelé SUNBURST \[1\]. Le code malveillant permet à l'attaquant d'exécuter du code à distance et d'exfiltrer des données. L'éditeur confirme que certaines versions de son produit ont été altérées et a publié un avis afin de fournir toutes les informations pour que les utilisateurs puissent sécuriser leurs installations \[2\]. D'après FireEye, la campagne aurait commencé au printemps 2020 et continuerait actuellement. FireEye a mis à disposition des signatures de détection (cf \[3\]) pour ce maliciel.

Solution

**\[Version du 06 janvier 2021 - mise à jour de la recommandation sur la version logicielle à privilégier\]** Le CERT-FR recommande fortement : - de vérifier si la version utilisée est affectée. Si c'est le cas, l'éditeur recommande de déconnecter les serveurs et considérer que le système d'information a pu être compromis dans son ensemble. En effet, il s'agit ici d'un logiciel légitime contenant une porte dérobée malveillante. - de réaliser, dans la mesure du possible, une image des disques et de la mémoire des serveurs hébergeant le produit Orion, cela à titre conservatoire pour recherche postérieure. - de prendre connaissance des marqueurs tenus à jour par l’US-CERT concernant SUNBURST \[8\]. - de prendre connaissance des marqueurs concernant SUPERNOVA \[6\]. - d’inventorier toutes les machines supervisées par SolarWinds Orion afin de les analyser en priorité. - de procéder à des recherches de compromissions au sein du système d'information en privilégiant les marqueurs réseau puis les indicateurs de compromission ‘système’. Microsoft a notamment centralisé la documentation sur les aspects techniques liés à cette compromission \[9\]. - de contrôler les potentielles modifications au niveau des annuaires Active Directory et notamment l’ajout de privilèges élevés à des comptes \[10\] ou l’ajout d’approbations entre domaines ou forêts \[11\]. - de contrôler l’utilisation anormale de jetons SAML notamment avec les plates-formes Office365/Azure AD. - **de mettre à jour la solution Orion vers la version 2020.2.1 HF2 ou à défaut vers la version 2019.4 HF 6 ** Pour rappel, le CERT-FR a publié un guide à suivre en cas d’intrusion \[5\]. ------------------------------------------------------------------------ La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

[Mise à jour du 06 janvier 2021]

  • Plateforme Orion de SolarWinds versions antérieures à 2019.4 HF 6 et 2020.2.1 HF 2

Important : le code malveillant SUNBURST n'est présent que dans les versions citées ci-dessous, cependant l'éditeur considère que la vulnérabilité CVE-2020-10148 [12][13] permettant notamment l'installation du webshell SUPERNOVA est présente dans toutes les versions antérieures.

 

[Mise à jour du 17 décembre 2020]

  • Plateforme Orion de SolarWinds versions 2019.4 HF 5 à 2020 2.1 HF 1
Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 06 janvier 2021]\u003c/strong\u003e\u003c/p\u003e \u003cul\u003e \u003cli\u003ePlateforme Orion de SolarWinds versions ant\u00e9rieures \u00e0 2019.4 HF 6 et 2020.2.1 HF 2\u003c/li\u003e \u003c/ul\u003e \u003cp\u003e\u003cu\u003e\u003cstrong\u003eImportant\u003c/strong\u003e\u003c/u\u003e : le code malveillant SUNBURST n\u0027est pr\u00e9sent que dans les versions cit\u00e9es ci-dessous, cependant l\u0027\u00e9diteur consid\u00e8re que la vuln\u00e9rabilit\u00e9 CVE-2020-10148 [12][13] permettant notamment l\u0027installation du webshell SUPERNOVA est pr\u00e9sente \u003cu\u003edans toutes les versions ant\u00e9rieures\u003c/u\u003e.\u003c/p\u003e \u003cp\u003e\u0026nbsp;\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 17 d\u00e9cembre 2020]\u003c/strong\u003e\u003c/p\u003e \u003cul\u003e \u003cli\u003ePlateforme Orion de SolarWinds versions 2019.4 HF 5 \u00e0 2020 2.1 HF 1\u003c/li\u003e \u003c/ul\u003e ",
  "closed_at": "2021-04-15",
  "content": "## Solution\n\n\u003cdiv markdown=\"1\"\u003e\n\n\u003cdiv markdown=\"1\"\u003e\n\n**\\[Version du 06 janvier 2021 - mise \u00e0 jour de la recommandation sur la\nversion logicielle \u00e0 privil\u00e9gier\\]**\n\n\u003c/div\u003e\n\n\u003cdiv markdown=\"1\"\u003e\n\nLe CERT-FR recommande fortement :\n\n-   de v\u00e9rifier si la version utilis\u00e9e est affect\u00e9e. Si c\u0027est le cas,\n    l\u0027\u00e9diteur recommande de d\u00e9connecter les serveurs et consid\u00e9rer que\n    le syst\u00e8me d\u0027information a pu \u00eatre compromis \u003cu\u003edans son\n    ensemble\u003c/u\u003e. En effet, il s\u0027agit ici d\u0027un logiciel l\u00e9gitime\n    contenant une porte d\u00e9rob\u00e9e malveillante.\n-   de r\u00e9aliser, dans la mesure du possible, une image des disques et de\n    la m\u00e9moire des serveurs h\u00e9bergeant le produit Orion, cela \u00e0 titre\n    conservatoire pour recherche post\u00e9rieure.\n-   de prendre connaissance des marqueurs tenus \u00e0 jour par l\u2019US-CERT\n    concernant SUNBURST \\[8\\].\n-   de prendre connaissance des marqueurs concernant SUPERNOVA \\[6\\].\n-   d\u2019inventorier toutes les machines supervis\u00e9es par SolarWinds Orion\n    afin de les analyser en priorit\u00e9.\n-   de proc\u00e9der \u00e0 des recherches de compromissions au sein du syst\u00e8me\n    d\u0027information en privil\u00e9giant les marqueurs r\u00e9seau puis les\n    indicateurs de compromission \u2018syst\u00e8me\u2019. Microsoft a notamment\n    centralis\u00e9 la documentation sur les aspects techniques li\u00e9s \u00e0 cette\n    compromission \\[9\\].\n-   de contr\u00f4ler les potentielles modifications au niveau des annuaires\n    Active Directory et notamment l\u2019ajout de privil\u00e8ges \u00e9lev\u00e9s \u00e0 des\n    comptes \\[10\\] ou l\u2019ajout d\u2019approbations entre domaines ou for\u00eats\n    \\[11\\].\n-   de contr\u00f4ler l\u2019utilisation anormale de jetons SAML notamment avec\n    les plates-formes Office365/Azure AD.\n-   **de mettre \u00e0 jour la solution Orion vers la version 2020.2.1 HF2 ou\n    \u00e0 d\u00e9faut vers la version 2019.4 HF 6  \n    **\n\nPour rappel, le CERT-FR a publi\u00e9 un guide \u00e0 suivre en cas d\u2019intrusion\n\\[5\\].\n\n------------------------------------------------------------------------\n\nLa mise \u00e0 jour d\u2019un produit ou d\u2019un logiciel est une op\u00e9ration d\u00e9licate\nqui doit \u00eatre men\u00e9e avec prudence. Il est notamment recommand\u00e9\nd\u2019effectuer des tests autant que possible. Des dispositions doivent\n\u00e9galement \u00eatre prises pour garantir la continuit\u00e9 de service en cas de\ndifficult\u00e9s lors de l\u2019application des mises \u00e0 jour comme des correctifs\nou des changements de version.\n\n\u003c/div\u003e\n\n\u003c/div\u003e\n",
  "cves": [
    {
      "name": "CVE-2020-10148",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-10148"
    }
  ],
  "initial_release_date": "2020-12-14T00:00:00",
  "last_revision_date": "2021-04-15T00:00:00",
  "links": [
    {
      "title": "[6] Rapport Palo Alto",
      "url": "https://unit42.paloaltonetworks.com/solarstorm-supernova/"
    },
    {
      "title": "[5] Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information",
      "url": "https://www.cert.ssi.gouv.fr/information/CERTA-2002-INF-002/"
    },
    {
      "title": "[8] Alerte US-CERT et liste des marqueurs",
      "url": "https://us-cert.cisa.gov/ncas/alerts/aa20-352a"
    },
    {
      "title": "[13] avis CERT-FR CERTFR-2020-AVI-845 du 28 d\u00e9cembre 2020",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-845/"
    },
    {
      "title": "[2] Avis de s\u00e9curit\u00e9 de l\u0027\u00e9diteur",
      "url": "https://www.solarwinds.com/securityadvisory"
    },
    {
      "title": "[9] R\u00e9f\u00e9rence documentaire Microsoft",
      "url": "https://msrc-blog.microsoft.com/2020/12/21/december-21st-2020-solorigate-resource-center/"
    },
    {
      "title": "[4] Article de MSRC",
      "url": "https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/"
    },
    {
      "title": "[11] Outil de d\u00e9tection Microsoft",
      "url": "https://github.com/Azure/Azure-Sentinel/blob/master/Detections/AuditLogs/ADFSDomainTrustMods.yaml"
    },
    {
      "title": "[10] Outil de d\u00e9tection Microsoft",
      "url": "https://github.com/Azure/Azure-Sentinel/blob/master/Detections/SigninLogs/AzureAADPowerShellAnomaly.yaml"
    },
    {
      "title": "[7] Rapport Microsoft du 18 d\u00e9cembre 2020",
      "url": "https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect/"
    },
    {
      "title": "[3] Signature de d\u00e9tection propos\u00e9e par FireEye",
      "url": "https://github.com/fireeye/sunburst_countermeasures"
    },
    {
      "title": "[1] Papier de recherche de FireEye",
      "url": "https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html"
    },
    {
      "title": "[12] CVE-2020-10148",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-10148"
    }
  ],
  "reference": "CERTFR-2020-ALE-026",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2020-12-14T00:00:00.000000"
    },
    {
      "description": "Correction d\u0027une coquille.",
      "revision_date": "2020-12-15T00:00:00.000000"
    },
    {
      "description": "Mise \u00e0 jour des informations concernant les versions affect\u00e9es et la publication des versions correctives.",
      "revision_date": "2020-12-17T00:00:00.000000"
    },
    {
      "description": "Mise \u00e0 jour de l\u0027alerte pour mentionner la d\u00e9couverte de Supernova et ajout de r\u00e9f\u00e9rences documentaires",
      "revision_date": "2020-12-23T00:00:00.000000"
    },
    {
      "description": "Mise \u00e0 jour de l\u0027alerte pour ajouter les pr\u00e9cisions de SolarWinds sur Supernova.",
      "revision_date": "2020-12-28T00:00:00.000000"
    },
    {
      "description": "Mise \u00e0 jour de l\u0027alerte pour ajouter les pr\u00e9cisions de SolarWinds sur Supernova en date du 31 d\u00e9cembre 2020.",
      "revision_date": "2021-01-06T00:00:00.000000"
    },
    {
      "description": "correction d\u0027une erreur dans l\u0027identifiant de la CVE.",
      "revision_date": "2021-01-07T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application des mesures correctives permet d\u0027\u00e9liminer la compromission.",
      "revision_date": "2021-04-15T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    },
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "\u003cdiv markdown=\"1\"\u003e\n\n\u003cstrong\u003e\\[Mise \u00e0 jour du 28 d\u00e9cembre 2020\\]\u003c/strong\u003e\n\n\u003c/div\u003e\n\n\u003cdiv markdown=\"1\"\u003e\n\nLe 27 d\u00e9cembre 2020, l\u0027avis SolarWinds a \u00e9t\u00e9 mis \u00e0 jour pour\u00a0apporter\ndes pr\u00e9cisions sur SUPERNOVA, un \"code encoquill\u00e9\" (*webshell*) d\u00e9pos\u00e9\net ex\u00e9cut\u00e9 *via* l\u0027exploitation d\u0027une vuln\u00e9rabilit\u00e9 corrig\u00e9e dans les\nderni\u00e8res versions d\u0027Orion.\n\n\u003c/div\u003e\n\n\u003cdiv markdown=\"1\"\u003e\n\n\u003cstrong\u003e\\[Mise \u00e0 jour du 23 d\u00e9cembre 2020\\]\u003c/strong\u003e\n\n\u003c/div\u003e\n\nLe 17 d\u00e9cembre, Palo Alto a publi\u00e9 un rapport \\[6\\] dans lequel ils\nindiquent qu\u2019un *webshell* a \u00e9t\u00e9 identifi\u00e9 dans une autre biblioth\u00e8que\npr\u00e9sente dans le serveur Web de la solution Orion. Ce *webshell*,\nd\u00e9nomm\u00e9 SUPERNOVA, a la particularit\u00e9 de ne pas requ\u00e9rir la transmission\nd\u2019un code ex\u00e9cutable par l\u2019attaquant mais un code source en .NET qui\nsera ex\u00e9cut\u00e9 en m\u00e9moire sur le serveur sans laisser de traces sur le\ndisque.\n\n\u003cdiv markdown=\"1\"\u003e\n\n\u003cstrong\u003e\\[Version initiale\\]\u003c/strong\u003e\n\n\u003c/div\u003e\n\n\u003cdiv markdown=\"1\"\u003e\n\nLe 8 d\u00e9cembre 2020, FireEye a annonc\u00e9 avoir d\u00e9couvert une campagne\nd\u0027intrusion par le biais d\u0027une compromission de mise \u00e0 jour de la\nplateforme de gestion et de supervision Orion de SolarWinds. Cette\nplate-forme a servi de vecteur pour une attaque par la cha\u00eene\nd\u0027approvisionnement (*supply chain attack)*. Les mises \u00e0 jour ont \u00e9t\u00e9\nalt\u00e9r\u00e9es afin d\u0027inclure un maliciel appel\u00e9 SUNBURST \\[1\\]. Le code\nmalveillant permet \u00e0 l\u0027attaquant d\u0027ex\u00e9cuter du code \u00e0 distance et\nd\u0027exfiltrer des donn\u00e9es.\n\n\u003c/div\u003e\n\n\u003cdiv markdown=\"1\"\u003e\n\nL\u0027\u00e9diteur confirme que certaines versions de son produit ont \u00e9t\u00e9\nalt\u00e9r\u00e9es et a publi\u00e9 un avis afin de fournir toutes les informations\npour que les utilisateurs puissent s\u00e9curiser leurs installations \\[2\\].\n\n\u003c/div\u003e\n\n\u003cdiv markdown=\"1\"\u003e\n\nD\u0027apr\u00e8s FireEye, la campagne aurait commenc\u00e9 au printemps 2020 et\ncontinuerait actuellement. FireEye a mis \u00e0 disposition des signatures de\nd\u00e9tection (cf \\[3\\]) pour ce maliciel.\n\n\u003c/div\u003e\n",
  "title": "[MaJ] Pr\u00e9sence de code malveillant dans SolarWinds Orion",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.