L’attaque de la chaîne d’approvisionnement de SolarWinds fait la une des journaux, affectant les agences gouvernementales, les entreprises de télécommunications et d’autres grandes organisations. La firme de sécurité FireEye a été la première victime de l’attaque, révélant qu’elle avait été piratée le 8 décembre 2020. Le 13 décembre, le département du Trésor américain a annoncé qu’il avait également été compromis. A cette époque, SolarWinds Orion a été officiellement signalé comme le vecteur d’intrusion.

SolarWinds a depuis déclaré que «moins de 18 000» entreprises étaient touchées. Les entreprises touchées par l’attaque de la chaîne d’approvisionnement de SolarWinds incluent Intel, NVidia et Cisco.

Qu’est-ce qu’une attaque de la chaîne d’approvisionnement?

Une attaque de la chaîne d’approvisionnement consiste à accéder à un système en ciblant un tiers de confiance utilisé par ce système. Cela peut inclure n’importe quel point de la chaîne d’approvisionnement.

Par exemple, la violation de données Target 2013, l’attaque de vente au détail la plus coûteuse de l’histoire à l’époque, a été traquée jusqu’à ce que les attaquants compromettent d’abord un fournisseur de CVC. Les attaquants ont utilisé les informations d’identification obtenues auprès de ce fournisseur pour accéder au réseau interne de Target.

Plus récemment, les attaques de la chaîne d’approvisionnement se sont concentrées sur les fournisseurs de logiciels. La compromission d’une seule organisation peut avoir un impact beaucoup plus important si le logiciel compromis est distribué à de nombreux utilisateurs. En 2017, des attaquants ont répandu la variante du malware NotPetya et causé des milliards de dollars de dommages en compromettant les serveurs de mise à jour appartenant à MeDoc, une société de logiciels comptables comptant des milliers de clients.

Qu’en est-il de SolarWinds?

SolarWinds Orion est un produit de surveillance et de gestion de réseau, ce qui signifie qu’il peut être configuré pour avoir un immense contrôle sur l’infrastructure d’une organisation.

Un acteur de la menace d’un État-nation non confirmé a réussi à injecter une porte dérobée, connue sous le nom de SUNBURST, dans plusieurs versions du logiciel Orion avant qu’elles ne soient téléchargées par les clients de SolarWinds.

Dans ce cas, SolarWinds était le tiers de confiance, et jusqu’à 18000 de leurs clients, dont beaucoup étaient de grandes entreprises, ont téléchargé et installé une version infectée d’Orion dès mars 2020.

Malgré le nombre d’utilisateurs infectés, l’attaquant semble s’être concentré sur le fait de rester caché tout en recueillant des informations, en se concentrant sur une poignée d’organisations ciblées. L’institut SANS a un examen plus approfondi de l’attaque et de son mécanisme.

UNE Webshell séparé, surnommé SUPERNOVA et que Microsoft croit avoir été injecté par un attaquant différent, a également été trouvé dans Orion, indiquant que plusieurs acteurs menaçants ont réalisé la valeur de ce type d’attaque contre Orion.

Bien que le vecteur d’intrusion qui a initialement conduit au compromis de SolarWinds Orion soit actuellement inconnu, en 2019, un chercheur en sécurité nommé Vinoth Kumar a signalé qu’il avait trouvé des informations d’identification pour le serveur de mise à jour SolarWinds dans un référentiel GitHub public, y compris un mot de passe incroyablement peu sûr de «Solarwinds123». Bien que le logiciel malveillant SUNBURST ait été signé de manière cryptographique, ce qui aurait obligé l’attaquant à compromettre des systèmes supplémentaires, ces résultats indiquent que SolarWinds a pu avoir une mauvaise posture de sécurité dans d’autres domaines.

Quelque chose comme ça pourrait avoir un impact sur WordPress?

Oui. Bien que l’attaque SolarWinds elle-même n’ait pas d’impact sur les sites WordPress, une attaque similaire pourrait être utilisée contre WordPress. En 2016, Matt Barry, développeur principal de Wordfence a informé WordPress d’une attaque potentielle de la chaîne d’approvisionnement qui aurait pu infecter près d’un tiers d’Internet en compromettant l’infrastructure de mise à jour de WordPress sur api.wordpress.org, qui indique aux sites WordPress où télécharger les mises à jour automatiques. Grâce à notre divulgation, le problème a été corrigé avant de pouvoir être exploité.

Les attaques de la chaîne d’approvisionnement ne sont pas toujours techniques. Entre 2013 et 2017, un spammeur sans scrupules connu sous le nom de Mason Soiza réussi à insérer un code malveillant utilisé pour afficher du spam et des publicités indésirables dans au moins 9 plugins WordPress, dont certains avec plusieurs centaines de milliers d’installations. Dans la plupart des cas, il a acheté le plugin à l’auteur et a inclus son propre code malveillant.

Plus tard en 2017, nous avons vu la même activité sur trois plugins distincts qui avaient changé de propriétaire, où les nouveaux propriétaires ont inclus des portes dérobées d’injection de contenu dans les plugins.

Les motifs d’une attaque de la chaîne d’approvisionnement WordPress peuvent être différents de ceux des attaquants ciblant SolarWinds, mais les mécanismes seraient les mêmes. Bien que de nombreuses attaques contre WordPress ne soient pas sophistiquées, la probabilité qu’un attaquant cible un CMS alimentant plus d’un tiers d’Internet ne doit pas être sous-estimée.

Comment prévenir les attaques de la chaîne d’approvisionnement?

Il est impossible d’éliminer complètement les attaques de la chaîne d’approvisionnement, mais il existe des moyens d’atténuer les risques qu’elles posent. Par exemple, WordPress a introduit la prise en charge des mises à jour signées cryptographiquement dans la version 5.2, bien que la fonctionnalité ne soit pas encore pleinement utilisée. Cela empêcherait WordPress d’installer des mises à jour qui n’ont pas été signées avec les bonnes clés.

Bien que cela puisse protéger contre un attaquant prenant le contrôle de api.wordpress.org et ordonnant aux sites de télécharger des mises à jour à partir d’un serveur non autorisé, cela ne protégerait pas contre un attaquant prenant le contrôle d’un plugin légitime.

De plus, si un attaquant pouvait accéder au serveur ou aux clés utilisées pour signer les mises à jour, il pouvait toujours contourner cette mesure. L’une des caractéristiques les plus troublantes du malware SUNBURST était que les attaquants étaient capables de signer cryptographiquement la mise à jour afin qu’elle semble légitime.

Comme pour les autres menaces, le risque d’attaques de la chaîne d’approvisionnement est mieux géré par une combinaison de contrôles techniques et administratifs, y compris la signature de code, en utilisant le principe du moindre privilège et le renforcement du système, de sorte que la violation d’un seul composant ne soit pas t entraîner la compromission d’un système ou d’un réseau entier.

Se protéger contre les attaques de la chaîne d’approvisionnement

En tant qu’utilisateurs de logiciels, la détection et la prévention des attaques de la chaîne d’approvisionnement peuvent être extrêmement difficiles. Les relations entre les logiciels et les fournisseurs sont basées sur la confiance. Les utilisateurs de logiciels sont convaincus que les logiciels et les systèmes utilisés par leurs organisations sont sécurisés, mais les utilisateurs ont peu de contrôle sur la sécurité ou les processus qui développent et distribuent ces logiciels. Cela est particulièrement vrai dans les modèles de logiciels à source fermée, où la responsabilité de la sécurité incombe à une organisation.

À certains égards, WordPress se distingue de la plupart des autres logiciels en ce sens qu’il existe un réseau actif et communicatif de développeurs qui contribuent au projet et s’investissent dans le succès de WordPress. Cette communauté a souvent été une première ligne de défense pour détecter et divulguer les problèmes afin qu’ils puissent être résolus rapidement.

Dans les deux cas, il peut être difficile de protéger une organisation contre une attaque de la chaîne d’approvisionnement via un logiciel de confiance. Cela nécessite de l’attention, des tests et une prise de conscience. WordPress bénéficie d’une large communauté d’utilisateurs et de développeurs qui ont toujours partagé cette responsabilité.

Bien que l’écosystème WordPress ne soit pas à l’abri des attaques de la chaîne d’approvisionnement, sa nature open-source signifie que de nombreux problèmes potentiels peuvent être repérés et corrigés plus rapidement que les problèmes avec une base de code propriétaire. À bien des égards, le principal défi dans un écosystème open source est de s’assurer que tous les utilisateurs effectuent la mise à jour vers des logiciels corrigés à mesure que des menaces émergent et sont atténuées avec les nouvelles versions.

Conclusion

Dans l’article d’aujourd’hui, nous avons discuté de l’attaque SolarWinds et des risques posés par les attaques de la chaîne d’approvisionnement en général. Nous avons également couvert une vulnérabilité de chaîne d’approvisionnement potentiellement catastrophique qui a été corrigée dans WordPress avant qu’elle ne puisse être exploitée, ainsi que des attaques de chaîne d’approvisionnement plus petites qui avaient été exécutées avec succès contre les plugins WordPress. Enfin, nous avons passé en revue les mesures préventives potentielles, y compris la signature du code et la participation communautaire.

Les attaques de la chaîne d’approvisionnement continueront d’être une menace dans un avenir prévisible. Bien qu’aucune stratégie unique ne puisse empêcher les attaques de la chaîne d’approvisionnement, une combinaison de bonnes pratiques peut réduire leur impact.

Un merci spécial à la directrice du marketing Kathy Zant pour son aide avec cet article.


Source link