En bref
Que s'est-il passé ?
SolarWinds Orion, plateforme de supervision réseau largement déployée (administrations, finance, tech, télécoms), est détournée pour diffuser le backdoor SUNBURST via une mise à jour signée numériquement.
Le système de build d'Orion est infecté par le malware SUNSPOT, qui surveille les processus et, au lancement de MSBuild.exe, injecte un fichier source malveillant dans la compilation, puis restaure l'original en fin de build pour effacer ses traces.
Le composant signé SolarWinds.Orion.Core.BusinessLayer.dll communique en HTTP vers des serveurs tiers, permettant exfiltration et mouvement latéral chez les clients. L'impact est mondial (Amérique du Nord, Europe, Moyen-Orient, Asie).
Sécuriser et isoler l'infrastructure de build (intégrité du pipeline), builds reproductibles et vérification des artefacts signés, détection des modifications de sources en CI, surveillance réseau des composants déployés.
Chronologie de l'attaque
La compromission de la chaîne de build d'Orion et le backdoor SUNBURST sont rendus publics.
Comment l'attaquant a procédé
Cet incident met en jeu les vecteurs d'attaque suivants du catalogue SOCLE ; chacun renvoie à sa fiche, où l'on trouve les exigences qui le neutralisent :
La leçon à en tirer
Provenance non falsifiable (build isolé), intégrité à la réception et durcissement de la plateforme de build.
Les exigences SOCLE qui auraient limité cet incident
Cet incident se rattache à 17 exigences du référentiel, par domaine. Les satisfaire n'aurait pas forcément tout empêché, mais aurait réduit la probabilité de l'attaque, limité son impact ou accéléré sa détection :