Sans aucun doute la cyberattaque la plus puissante jamais orchestrée à l'échelle mondiale, les dégâts imputables à SolarWinds sont encore loin d'être tous connus. A vrai dire, il faudra certainement attendre plusieurs mois - plus certainement années - afin d'en connaitre toutes les conséquences. Pour l'heure, la liste des victimes ne cesse de s'allonger. D'après un dernier rapport de Netresec, ce sont pas moins de 23 nouvelles victimes qui sont désormais officiellement affectées, non sans avoir été précédées de soupçons. Alors que contient cette liste ? Malheureusement un bon nombre de fournisseurs de sécurité sont présents dont Qualys, Mimecast et Fidelis Cybersecurity. Voici la liste dans le détail : central.pima.gov (confirmé), cisco.com (confirmé), corp.qualys.com (confirmé), coxnet.cox.com (confirmé), ddsn.gov, fc.gov, fox.local, ggsg-us.cisco.com (confirmé), HQ.FIDELIS (confirmé), jpso.gov, lagnr.chevrontexaco.net, logitech.local, los.local, mgt.srb.europa (confirmé), ng.ds.army.mil, nsanet.local, paloaltonetworks (confirmé), phpds.org, scc.state.va.us (confirmé), suk.sas.com, vgn.viasatgsd.com, wctc.msft et WincoreWindows.local
« Qualys a confirmé que les attaquants de SolarWinds avaient ciblé ses systèmes. Cependant, « il n'y a eu aucun impact sur notre environnement de production ni aucune donnée exfiltrée », a déclaré un porte-parole du groupe à SDxCentral. De son côté, le RSSI de Fidelis Cybersecurity Chris Kubic indique qu'il n'existe pour l'heure pas de preuve que SolarWinds a compromis ses réseaux et continue d'investiguer. En revanche du côté de Mimecast la situation apparait bien plus compliquée, la société ayant confirmé dans la foulée du rapport émis par Netresec que des pirates derrière SolarWinds sont bien à l'origine de sa brèche de sécurité réseau. Palo Alto Networks n'a pas été épargné, ce que le fournisseur avait toutefois confirmé dès le mois dernier.
99,5% des portes dérobées pas exploitées par les cyberpirates SolarWinds ?
Qu'ils aient admis dès le départ une brèche de sécurité dans leurs systèmes, ou mis devant le fait accompli par les travaux réalisés par Netresec, les éditeurs de sécurité s'avèrent plus que tout autre en première ligne. Mais leurs clients également car des attaques par rebond sont toujours à prévoir ce qui constitue le principal facteur de risque dont on ignore encore à ce stade l'ampleur. Pour les entreprises qui ont « simplement » téléchargé la mise à jour piégée d'Orion, le risque existe toujours mais pourrait s'avérer infiniment moindre qu'escompté.
« Nous tenons à souligner que la majorité de toutes les entreprises et organisations qui ont installé une mise à jour SolarWinds Orion contenant le backdoor n'ont jamais été ciblées par les acteurs de la menace », a indiqué le chercheur en sécurité Erik Hjelmvik. « Cela signifie que ces portes dérobées SUNBURST n'ont jamais dépassé ce que nous appelons "l'opération de l'étape 1", où la porte dérobée encode le nom de domaine AD interne et les produits de sécurité installés dans les requêtes DNS. Les portes dérobées SUNBURST lors de l'opération de l'étape 1 ne peuvent accepter aucune commande du serveur C2 sans passer d'abord à l'étape 2. Nous estimons qu'environ 99,5% des portes dérobées SUNBURST installées n'ont jamais progressé vers l'étape 2 ». Un petit rayon de soleil dans la brume d'un cyberpiratage à grande échelle ?