Posté le décembre 19, 2020 à 16:46
UNE FAILLE DE VMWARE SERAIT UN VECTEUR DE PIRATAGE DE SOLARWINDS
Un rapport de KrebsOnSecurity a révélé que les hackers de SolarWinds ont profité d’une vulnérabilité qui a permis l’abus d’une authentification fédérée sur les cibles. Cependant, l’équipe de VMware a déclaré qu’elle n’était pas au courant de cette vulnérabilité.
Plus tôt dans la semaine, les agences de cybersécurité du gouvernement américain ont averti que les hackers de SolarWinds avaient bénéficié également d’autres vulnérabilités pour lancer leurs attaques.
Il a été découvert que l’une de ces vulnérabilités émanait de VMware, ce qui a été confirmé par les chercheurs de KrebsOnSecurity et la NSA (agence de sécurité nationale américaine).
Selon la NSA, les hackers russes profitent de la vulnérabilité de VMware pour se faire passer pour des utilisateurs autorisés sur les réseaux victimes.
La NSA a déclaré que les hackers auraient besoin d’être sur le réseau interne des cibles pour exploiter la vulnérabilité, et KrebsOnSecurity a déclaré que c’est peut-être ce qui s’est passé avec le piratage de SolarWinds.
Cependant, VMware a répondu à cette constatation en disant qu’il n’avait aucune indication ni ne recevait aucune notification que la vulnérabilité était utilisée pour pirater le réseau de SolarWinds.
Lorsque la NSA a informé VMware de la suite, la société a immédiatement publié une mise à jour du logiciel le 3 décembre pour corriger la vulnérabilité, en disant qu’elle n’avait été informée de la faille que par la NSA.
Les acteurs malveillants ont contourné l’authentification multi-facteurs
La CISA a également déclaré que les hackers responsables du piratage de SolarWinds se concentraient sérieusement sur l’usurpation d’identité de personnes de confiance sur les réseaux ciblés. Et ces arnaqueurs ont trouvé des moyens de contourner les systèmes d’authentification multi-facteurs (AMF) qui protègent les réseaux qu’ils ciblent.
La note d’information de la NSA est arrivée moins de 24 heures avant que les chercheurs de FireEye ne révèlent qu’ils avaient découvert que les hackers s’étaient introduits dans les réseaux et s’étaient emparés de plus de 300 outils logiciels propriétaires.
Ces outils logiciels ont été développés par SolarWinds pour aider ses clients à sécuriser les réseaux. Par conséquent, plusieurs clients de l’entreprise risquent de subir des attaques.
Selon FireEye, l’incident de piratage a été possible parce que les hackers ont pu profiter du réseau de SolarWinds. Ils ont implanté un code malveillant dans les mises à jour utilisées par SolarWinds pour les utilisateurs du logiciel de gestion de réseau Orion de l’entreprise.
Dans l’avis publié par la NSA, l’agence a averti qu’une mise à jour était nécessaire « dès que possible », exhortant les entreprises de défense, le ministère de la défense et le système de sécurité nationale à faire de la sécurité de leurs systèmes de sécurité une priorité absolue.
Bien que certains des réseaux de VMware utilisent des versions défectueuses du réseau SolarWinds Orion, la société a déclaré que son enquête montre que ses systèmes ne sont pas exploités. « Notre enquête interne n’a révélé aucune indication d’exploitation », a déclaré la société.
Le cours de l’action de VMware chute de 5,4%.
Il semble que la nouvelle du lien de VMware avec le piratage de SolarWinds ait déjà affecté le cours de son action. Moins de 24 heures après la nouvelle, l’action VMware a enregistré une baisse de 5,4 %.
Alors que certaines organisations gouvernementales ont été compromises à la suite du piratage de SolarWinds, Microsoft et FireEye sont les seules organisations du secteur privé touchées. Le rapport a également révélé que les hackers russes ont même profité de la vulnérabilité et ont utilisé les produits de Microsoft pour lancer de nouvelles attaques sur d’autres victimes.
La CISA (Agence américaine de sécurité des infrastructures et de la cybersécurité) a révélé que les hackers ont atteint leurs objectifs en compromettant le SAML (« Security Assertion Markup Language »).
Une fois qu’ils y parviennent, les acteurs de la menace créent des jetons non autorisés mais authentiques et les présentent à des services qui prennent en charge les jetons SAML.
Ensuite, les jetons peuvent être utilisés pour accéder à des ressources sur des plateformes hébergées comme les comptes de messagerie.
Microsoft a déclaré avoir également découvert les éléments nocifs dans les binaires de SolarWinds, mais a déclaré que certains des rapports sur l’incident ne sont pas une représentation fidèle de ce qui s’est réellement passé.
La CISA a également déclaré avoir découvert que les acteurs de la menace ajoutent des jetons d’authentification aux comptes de domaines Microsoft hautement sensibles. Avec ces jetons, les hackers veulent avoir accès aux ressources hébergées et sur site.
Selon la CISA, les hackers signent des certificats en utilisant des services de stockage de fichiers, des systèmes de cartes de temps, des systèmes de voyage, des applications de veille économique hébergées, ainsi que des systèmes de courrier électronique hébergés.
