SolarWinds Sunburst
Qu'est-ce que SolarWinds Sunburst ?
SolarWinds SunburstAttaque sur la chaine logicielle en 2020 ou la porte derobee Sunburst a ete inseree dans les mises a jour SolarWinds Orion, compromettant des agences federales americaines et des entreprises mondiales.
Sunburst est la porte derobee implantee dans la plateforme de gestion IT SolarWinds Orion entre mars et juin 2020 et decouverte par FireEye en decembre 2020. Les attaquants ont compromis la chaine de compilation de SolarWinds et injecte du code malveillant dans des mises a jour Orion legitimement signees, qui ont ete deployees chez environ 18 000 organisations. Un sous-ensemble, dont les Departements americains du Tresor, du Commerce, de la Justice et de la Securite interieure, FireEye et Microsoft, a fait l'objet d'une exploitation secondaire via les implants TEARDROP et Cobalt Strike. Les autorites americaines ont attribue la campagne a UNC2452 / APT29 (SVR). L'incident a accelere les reformes sur la securite de la chaine logicielle, dont SBOM et builds signes.
● Exemples
- 01
Un serveur Orion balise avsvmcloud.com et recoit un implant Cobalt Strike en seconde phase.
- 02
Une agence reconstruit son Orion sur des medias sains et fait tourner tous les certificats de signature SAML.
● Questions fréquentes
Qu'est-ce que SolarWinds Sunburst ?
Attaque sur la chaine logicielle en 2020 ou la porte derobee Sunburst a ete inseree dans les mises a jour SolarWinds Orion, compromettant des agences federales americaines et des entreprises mondiales. Cette notion relève de la catégorie Vulnérabilités en cybersécurité.
Que signifie SolarWinds Sunburst ?
Attaque sur la chaine logicielle en 2020 ou la porte derobee Sunburst a ete inseree dans les mises a jour SolarWinds Orion, compromettant des agences federales americaines et des entreprises mondiales.
Comment fonctionne SolarWinds Sunburst ?
Sunburst est la porte derobee implantee dans la plateforme de gestion IT SolarWinds Orion entre mars et juin 2020 et decouverte par FireEye en decembre 2020. Les attaquants ont compromis la chaine de compilation de SolarWinds et injecte du code malveillant dans des mises a jour Orion legitimement signees, qui ont ete deployees chez environ 18 000 organisations. Un sous-ensemble, dont les Departements americains du Tresor, du Commerce, de la Justice et de la Securite interieure, FireEye et Microsoft, a fait l'objet d'une exploitation secondaire via les implants TEARDROP et Cobalt Strike. Les autorites americaines ont attribue la campagne a UNC2452 / APT29 (SVR). L'incident a accelere les reformes sur la securite de la chaine logicielle, dont SBOM et builds signes.
Comment se défendre contre SolarWinds Sunburst ?
Les défenses contre SolarWinds Sunburst combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de SolarWinds Sunburst ?
Noms alternatifs courants : UNC2452, Solorigate, Porte derobee Sunburst.
● Termes liés
- attacks№ 1116
Attaque de la chaîne d'approvisionnement
Attaque qui compromet un fournisseur de logiciel, de matériel ou de services de confiance afin d'atteindre ses clients en aval.
- malware№ 080
Porte dérobée
Mécanisme caché qui contourne l'authentification ou les contrôles d'accès normaux afin de donner à un attaquant un accès futur au système.
- defense-ops№ 193
Cobalt Strike
Plateforme commerciale de simulation d'adversaire tres utilisee par les red teams et frequemment detournee par des attaquants pour le post-exploitation et le command-and-control.