Vulnérabilités dans SolarWinds Orion (connues sous les noms : « Solarigate » ou « SUNBURST » et « Supernova »)

La compagnie SolarWinds a été la cible d'une intrusion informatique au début de l'année 2020 pendant laquelle des attaquants auraient ajouté une porte dérobée (une méthode par laquelle les utilisateurs non autorisés peuvent contourner les mesures de sécurité normales et obtenir un accès de haut niveau) à une bibliothèque déjà mise en exploitation.  Cette attaque est identifiée par Microsoft sous les noms de « Solarigate » et « Supernova » dans Windows Defender.  La compagnie FireEye, œuvrant dans le domaine de la cybersécurité, fait référence, elle, à la porte dérobée « SUNBURST ».

Les Technologies de l’information souhaitent vous informer qu’un réseau contrôlé par Orion (un des composants de la bibliothèque compromise) pourrait être affecté.  Un attaquant pourrait activer et/ou désactiver les outils de sécurité, modifier les configurations, charger des correctifs non autorisés ou empêcher l'application de correctifs.

Versions affectées :

• SolarWinds Orion Platform versions 2019.4 HF 5.
• SolarWinds Orion Platform versions 2020.2 sans hotfix.
• SolarWinds Orion Platform versions 2020.2 HF 1.

Recommandations :

• Les unités disposant du produit Orion Platform v2020.2 sans hotfix ou la version 2020.2 HF 1 doivent passer à Orion Platform version 2020.2.1 HF 2 dès que possible.
• Les unités disposant du produit Orion Platform v2019.4 HF 5 doivent passer à la version 2019.4 HF 6.

Veuillez vous référer à ces liens pour les mises à jour :

• https://www.solarwinds.com/securityadvisory
• https://customerportal.solarwinds.com

Toutefois, si vous utilisez des produits SolarWinds Orion et vous pensez que la plateforme a été compromise, veuillez suivre les consignes ci-dessous :

• Veiller à ce que les serveurs SolarWinds soient isolés afin de bloquer toute sortie Internet depuis les serveurs SolarWinds.
• Si l’infrastructure SolarWinds n’est pas isolée, envisager de prendre les mesures suivantes :
  • Restreindre la portée de la connectivité pour exclure les points terminaux les plus vulnérables, depuis les serveurs SolarWinds.
  • Restreindre la portée des comptes qui ont des privilèges d’administrateur local sur les serveurs SolarWinds.
  • Bloquer la sortie Internet depuis les serveurs ou autres points terminaux exécutant des logiciels SolarWinds.
• Envisager (au minimum) de modifier les mots de passe des comptes qui ont accès aux serveurs ou à l’infrastructure SolarWinds.

Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel, à l’adresse « securite@umontreal.ca  ».

Nous vous remercions de votre collaboration.