Les agences de cybersécurité du gouvernement américain ont averti cette semaine que les attaquants à l’origine de la frénésie de piratage généralisée résultant de la compromission de la société de logiciels de réseau SolarWinds ont utilisé les faiblesses d’autres produits non SolarWinds pour attaquer des cibles de grande valeur. Selon des sources, parmi celles-ci figurait une faille dans la plate-forme de virtualisation logicielle VMwarelequel à Agence de sécurité nationale des États-Unis (NSA) averti le 7 décembre était utilisé par des pirates russes pour se faire passer pour des utilisateurs autorisés sur les réseaux victimes.
Le 7 décembre 2020, la NSA a déclaré que « des cyber-acteurs malveillants parrainés par l’État russe exploitent une vulnérabilité dans Accès VMware et Gestionnaire d’identité VMware produits, permettant aux acteurs d’accéder à des données protégées et d’abuser de l’authentification fédérée.
VMware a publié une mise à jour logicielle pour boucher le trou de sécurité (CVE-2020-4006) le 3 décembre, et a déclaré avoir appris la faille de la NSA.
La NSA consultatif (PDF) est venu moins de 24 heures avant la firme de réponse aux cyberincidents FireEye mentionné il a découvert que des attaquants avaient pénétré dans ses réseaux et volé plus de 300 outils logiciels propriétaires que la société avait développés pour aider les clients à sécuriser leurs réseaux.
Le 13 décembre, FireEye divulgué que l’incident était le résultat de la compromission de SolarWinds, qui impliquait l’insertion subreptice de code malveillant dans les mises à jour envoyées par SolarWinds aux utilisateurs de son Orion logiciel de gestion de réseau dès mars 2020.
Dans son avis sur la vulnérabilité VMware, la NSA a exhorté à la corriger «dès que possible», encourageant spécifiquement le système de sécurité nationale, le ministère de la Défense et les sous-traitants de la défense à en faire une priorité élevée.
La NSA a déclaré que pour exploiter cette faille particulière, les pirates auraient déjà besoin d’avoir accès à l’interface de gestion d’un périphérique VMware vulnérable – c’est-à-dire qu’ils devraient être sur le réseau interne de la cible (à condition que l’interface VMware vulnérable ne soit pas accessible depuis le L’Internet). Cependant, le compromis SolarWinds aurait bien fourni cet accès interne.
En réponse aux questions de BreachTrace, VMware a déclaré n’avoir « reçu aucune notification ou indication que le CVE 2020-4006 a été utilisé conjointement avec la compromission de la chaîne d’approvisionnement de SolarWinds ».
VMware a ajouté que si certains de ses propres réseaux utilisaient le logiciel vulnérable SolarWinds Orion, une enquête n’a jusqu’à présent révélé aucune preuve d’exploitation.
« Bien que nous ayons identifié des instances limitées du logiciel SolarWinds Orion vulnérable dans notre environnement, notre propre enquête interne n’a révélé aucune indication d’exploitation », a déclaré la société dans un communiqué. « Cela a également été confirmé par les propres enquêtes de SolarWinds à ce jour. »
Le 17 décembre, le DHS Agence de cybersécurité et de sécurité des infrastructures (CISA) publié une alerte qui donne à réfléchir sur l’attaque SolarWinds, notant que CISA avait des preuves de vecteurs d’accès supplémentaires autres que la plate-forme SolarWinds Orion.
L’avis de la CISA a spécifiquement noté que « l’un des principaux moyens par lesquels l’adversaire atteint cet objectif est de compromettre le Langage de balisage d’assertion de sécurité (SAML) certificat de signature à l’aide de leurs privilèges Active Directory élevés. Une fois cette opération accomplie, l’adversaire crée des jetons non autorisés mais valides et les présente aux services qui font confiance aux jetons SAML de l’environnement. Ces jetons peuvent ensuite être utilisés pour accéder aux ressources dans des environnements hébergés, tels que le courrier électronique, pour l’exfiltration de données via des interfaces de programmation d’applications (API) autorisées. »
En effet, l’avis de la NSA du 7 décembre a déclaré que l’activité de piratage impliquant la vulnérabilité VMware « a conduit à l’installation d’un shell Web et à une activité malveillante de suivi où des informations d’identification sous la forme d’assertions d’authentification SAML ont été générées et envoyées à Microsoft Active Directory Federation Services (ADFS), qui à son tour a permis aux acteurs d’accéder à des données protégées.
Toujours le 17 décembre, la NSA a publié un avis beaucoup plus détaillé expliquant comment il a vu la vulnérabilité VMware utilisée pour forger des jetons SAML, cette fois en faisant spécifiquement référence au compromis SolarWinds.
Interrogée sur la connexion potentielle, la NSA a seulement déclaré que « si des cyberacteurs malveillants obtiennent un accès initial aux réseaux via le compromis SolarWinds, les TTP [tactics, techniques and procedures] noté dans notre avis du 17 décembre peut être utilisé pour falsifier des informations d’identification et maintenir un accès permanent.
« Nos conseils dans cet avis aident à détecter et à atténuer cela, quelle que soit la méthode d’accès initiale », a déclaré la NSA.
L’analyse de la CISA a suggéré que les escrocs à l’origine de l’intrusion de SolarWinds étaient fortement concentrés sur l’usurpation d’identité du personnel de confiance sur les réseaux ciblés, et qu’ils avaient conçu des moyens intelligents pour contourner les systèmes d’authentification multifacteur (MFA) protégeant les réseaux qu’ils ciblaient.
Le bulletin fait référence à des recherches publiées plus tôt cette semaine par une société de sécurité Volexitéqui décrit rencontrer les mêmes attaquants en utilisant une nouvelle technique pour contourner les protections MFA fournies par Duo pour Application Web Microsoft Outlook utilisateurs (OWA).
Parent du duo Cisco Systems Inc. a répondu que l’attaque décrite par Volexity ne ciblait aucune vulnérabilité spécifique dans ses produits. Comme Ars Technica expliquéle contournement impliquant les protections de Duo aurait tout aussi bien pu impliquer n’importe lequel des concurrents de Duo.
« La modélisation des menaces MFA n’inclut généralement pas une compromission complète du système d’un serveur OWA », a déclaré Ars. Dan Goodin a écrit. « Le niveau d’accès atteint par le pirate était suffisant pour neutraliser à peu près n’importe quelle défense. »
Plusieurs médias, dont Le New York Times ont cité des sources gouvernementales anonymes affirmant que le groupe à l’origine des piratages de SolarWinds était connu sous le nom de APT29 ou « Cosy Bear« , un groupe de menace avancé soupçonné de faire partie du Service fédéral de sécurité russe (FSB).
SolarWinds a déclaré que près de 18 000 clients pourraient avoir reçu les mises à jour logicielles Orion dérobées. Jusqu’à présent, seule une poignée de clients ciblés par les pirates informatiques russes présumés à l’origine du compromis SolarWinds ont été rendus publics, notamment les départements américains du commerce, de l’énergie et du Trésor, ainsi que le DHS.
Nul doute que nous entendrons parler de nouvelles victimes dans le secteur public et privé dans les jours et semaines à venir. Dans l’intervalle, des milliers d’organisations sont confrontées à un travail incroyablement coûteux, perturbateur et chronophage pour déterminer si elles ont été compromises et, le cas échéant, que faire à ce sujet.
L’avis de la CISA note que les attaquants à l’origine des compromis de SolarWinds ont ciblé le personnel clé des entreprises victimes, y compris le personnel de réponse aux cyberincidents et les comptes de messagerie informatique. L’avertissement suggère aux organisations qui soupçonnent qu’elles ont été victimes de supposer que leurs communications par e-mail et leur trafic réseau interne sont compromis, et de s’appuyer sur ou de créer des systèmes hors bande pour discuter en interne de la manière dont ils procéderont pour nettoyer le gâchis.
« Si l’adversaire a compromis les informations d’identification de niveau administratif dans un environnement ou si les organisations identifient un abus SAML dans l’environnement, la simple atténuation des problèmes individuels, des systèmes, des serveurs ou des comptes d’utilisateurs spécifiques ne conduira probablement pas à la suppression de l’adversaire du réseau », CISA averti. « Dans de tels cas, les organisations doivent considérer l’ensemble du magasin de confiance d’identité comme compromis. En cas de compromission totale de l’identité, une reconstitution complète des services d’identité et de confiance est nécessaire pour réussir la résolution. Dans cette reconstitution, il convient de répéter que cet acteur menaçant est parmi les plus capables et, dans de nombreux cas, une reconstruction complète de l’environnement est l’action la plus sûre.