La brèche avait été ouverte avec Solarwinds, elle est maintenant enfoncée avec Codecov. Les cyberpirates apprennent vite et ceux qui ont visé le mois dernier l'éditeur spécialisé en solutions d'audit de code source Codecov ont agi selon un scénario de cyberattaque par rebond comparable dans sa méthode à celui de Solarwinds. Dans les deux cas en effet, les pirates sont parvenus à altérer une partie du code source de l'application d'un éditeur - Orion pour Solarwinds et l'outil d'envoi de rapports Bash Uploader dans le cas de Codecov - téléchargé par des clients.
Du côté de Solarwinds, on se souvient que FireEye avait fait partie des victimes collatérales. Dans le cas de Codecov, c'est un autre éditeur de sécurité qui fait les frais de ce stratagème, Rapid7. Il ne s'agit pas du seul fournisseur touché : cela a également été le cas de la plateforme CRM Monday.com. « Lorsque nous avons appris cet incident, nous avons immédiatement lancé notre processus de réponse aux incidents de sécurité », a expliqué dans un billet Rapid7. « Notre utilisation du script Bash Uploader de Codecov était limitée : il a été installé sur un seul serveur d'intégration continue (CI) utilisé pour tester et créer des outils internes pour notre service de détection et réponse aux incidents (MDR). Nous n'utilisions Codecov sur aucun serveur CI utilisé pour du code source produit ».
Des données d'alertes de sécurité clients aux mains des pirates
Le fournisseur indique cependant que les cybercrminels ont eu accès à des référentiels contenant des informations d'identification internes ainsi que des données relatives à des alertes de sécurité provenant de services MDR. Problème : Ces dernières peuvent permettre à des attaquants de mieux connaitre les applications, leur fonctionnement et découvrir des composantes réseau de clients de Rapid7 utilisant son offre MDR. Un point de départ idéal pour ensuite lancer des attaques ciblées via de l'usurpation d'identité, du social engineering ou encore du phishing.
Cette conséquence d'attaque par rebond et déplacements latéraux à des fins de compromission ou d'altération de l'activité (vol, rançonnage, espionnage...) n'est vraiment pas à sous-estimer. « En attendant, ils [les clients de Rapid7] doivent surveiller l'activité sur leur réseau, leurs applications et leurs terminaux pour mettre en évidence tout comportement suspect provenant du logiciel Rapid7 et atténuer les menaces potentielles », a prévenu Kevin Dunne, président de Pathlock spécialisé dans la gestion des accès. Ce ne sera pas la seule fois où l'adage prévenir plutôt que guérir s'applique parfaitement.
Commentaire