Alors que les États-Unis sont actuellement frappés par l’une des plus grandes cyberattaques de tous les temps, The Hacker News nous apprend aujourd’hui que cette faille de sécurité pourrait être encore plus importante que nous le supposions. Les hackers ont probablement profité d’une autre faille dans le logiciel Orion de SolarWinds pour installer un malware : Supernova.

Le malware Supernova installé à cause d’une faille de sécurité

Microsoft est à l’origine de cette seconde découverte. Dans un récent billet de blog, l’entreprise américaine déclarait avoir découvert qu’un second groupe de hackers aurait ciblé la plateforme Orion de SolarWinds. Une révélation qui vient un peu plus acculer l’entreprise basée à Austin au Texas, déjà à l’origine d’une faille de sécurité majeure.

La firme de Redmond précise que : « l’enquête sur l’ensemble du fichier compromis de SolarWinds a conduit à la découverte d’un malware supplémentaire qui affecte également le produit SolarWinds Orion mais qui a été déterminé comme n’étant probablement pas lié à cette attaque et utilisé par un autre acteur ».

C’est bien du malware Supernova dont il s’agit. Selon le CERT (computer emergency response team) : « l’API de SolarWinds Orion qui est utilisée pour s’interfacer avec tous les autres produits de surveillance et de gestion du système Orion souffre d’une faille de sécurité (CVE-2020-10148) qui a probablement permis à des hackers d’exécuter des commandes non authentifiées ». Voilà comment les hackers ont réussi à faire pénétrer le malware Supernova sur le logiciel de SolarWinds.

L’exécution et la flexibilité de ce malware peuvent le rendre dévastateur

Les chercheurs précisent que l’authentification de l’API d’Orion peut être contournée en incluant des paramètres spécifiques dans la partie Request.PathInfo d’une requête URI (Uniform Resource Identifier) vers l’API. Pour entrer, il suffit aux hackers d’entrer un paramètre PathInfo de « WebResource.adx », « ScriptResource.adx », « i18n.ashx » ou « Skipi18n » à une requête adressée à un serveur SolarWinds Orion. De telles combinaisons permettent d’activer l’indicateur « SkipAuthorization ». Vous l’aurez compris, cela ouvre la voie aux hackers pour exécuter une requête API sans avoir besoin de s’authentifier.

Les chercheurs de l’école 42 de Palo Alto estiment que : « Supernova est nouveau et puissant en raison de son exécution en mémoire, de la sophistication de ses paramètres, de son exécution et de sa flexibilité grâce à la mise en œuvre d’une API programmatique complète ». De quoi rajouter du travail à la CISA (Cybersecurity and Infrastructure Security Agency) et au FBI, les deux organes en charge de l’enquête. Ils tentent encore de comprendre l’ampleur des dégâts.

À ce jour, nous savons que ce piratage remonte à octobre 2019. Les hackers se sont d’abord fondus dans les logiciels d’Orion, en réalisant des modifications inoffensives. C’est ensuite qu’ils ont apporté des modifications malveillantes et introduit différents malwares dont Supernova. Nous savons également que des secrets d’État ont probablement été dérobés car des agences gouvernementales ont été touchées. Parmi elles, nous retrouvons le département du Trésor américain, les Instituts nationaux de la santé (NIH), ou encore l’Agence de la cybersécurité et des infrastructures (CISA).