Sous pression depuis quelque temps SolarWinds, le fournisseur de logiciels de gestion de systèmes informatiques, a annoncé la publication de mises à jour en réponse au maliciel Supernova pour toutes les versions supportées des produits SolarWinds Orion Platform et une correction pour les clients sur les versions non supportées de ces produits.
SolarWinds a été victime d’une attaque dite sur la chaîne d’approvisionnement durant laquelle les cybermalfaiteurs ont réussi à insérer du code malveillant (Sunburst) dans une mise à jour. Les attaquants ont ainsi réussi à compromettre les serveurs des entreprises qui ont effectué la mise à jour. Parmi les victimes, des agences gouvernementales américaines (notamment dans le nucléaire) et de grandes entreprises ont été compromises. C’est l’une des pires attaques subies dans l’histoire de la cybersécurité.
Un début de réponse
En utilisant la vulnérabilité créée par Sunburts, les attaquants ont pu introduire le maliciel Supernova dans les serveurs compromis. D’après l’enquête de SolarWinds, ce maliciel se compose de deux éléments. Le premier est un fichier web malveillant et non signé « app_web_logoimagehandler.ashx.b6031896.dll » spécialement écrit pour être utilisé sur la plateforme Orion. Le second permet l’exploitation d’une vulnérabilité dans la plateforme Orion pour permettre le déploiement du code malveillant. Les mises à jour annoncées ont été conçues pour remédier à cette vulnérabilité dans toutes les versions de la plateforme Orion prises en charge.
Si les clients ne sont pas en mesure de mettre à niveau leur système pour le moment, ou s’ils utilisent une version antérieure à 2018.2, SolarWinds fournit un script que les clients peuvent installer rapidement pour les aider à protéger leur environnement.