SolarWinds a publié un second correctif pour son logiciel Web Help Desk, peu après un premier patch. Ce nouveau correctif vise à supprimer des informations d'identification codées en dur introduites par erreur dans la première mise à jour, tout en corrigeant une faille de sécurité critique exploitée activement.
Nous sommes désormais habitués aux publications de correctifs, qui font généralement suite à des découvertes de failles de sécurité, exploitées ou non. Microsoft est d'ailleurs passée maître en la matière, entre les Patch Tuesday et les bouchages intercalaires de ses outils, comme Google Chrome.
Mais on s'attendait moins à ce qu'une entreprise comme SolarWinds s'y mette. C'est pourtant ce qu'a fait la firme d'Austin, qui fournit de grandes organisations à travers le monde en logiciels de gestion informatique et de réseaux. Et elle ne s'est pas arrêtée à un correctif, puisqu'elle en a ajouté un second, en un mois. Mais ce qui constitue son exploit n'est pas tant que ce deuxième correctif vienne en effet corriger le précédent, mais plutôt que ce dernier contenait… une faille de sécurité.
Un correctif qui corrige le correctif : l'erreur est humaine, mais la sécurité ne pardonne pas
SolarWinds vient de sortir un nouveau patch pour son logiciel Web Help Desk. Une surprise, quand on sait que l'entreprise avait déjà publié un correctif il y a quelques jours. Le problème, c'est que ce premier patch contenait lui-même une faille de sécurité. Un comble.
Le premier correctif visait à résoudre une vulnérabilité critique (CVE-2024-28986) permettant l'exécution de code à distance. Une faille sérieuse, exploitée activement selon la CISA. Mais voilà, probablement sous pression, les développeurs ont commis une erreur. Ils ont laissé des informations d'identification codées en dur dans le patch. Erreur fatale.
Cette nouvelle vulnérabilité (CVE-2024-28987) pourrait permettre à un attaquant non authentifié d'accéder à des fonctionnalités internes et de modifier des données. Autrement dit, autant fermer la porte à double tour, mais laisser la clé dans la serrure.
Le nouveau correctif vise donc à supprimer ces informations d'identification mal placées, tout en conservant la correction de la faille initiale. SolarWinds ajoute également d'autres améliorations, notamment pour résoudre un problème SSO. Tant qu'à être dans le ventre de la bête, autant ne laisser aucun outil sous le capot avant de le refermer.
La cyberattaque de 2021 : quand SolarWinds est devenue synonyme de cauchemar en cybersécurité
Pour comprendre pourquoi cette nouvelle faille fait tant de bruit, il faut remonter à 2021. Cette année-là, SolarWinds s'est retrouvée au cœur d'une des plus grandes cyberattaques de l'histoire récente.
Des hackers, probablement liés à la Russie, ont réussi à infiltrer le logiciel Orion de SolarWinds. Ils y ont inséré un malware baptisé Sunburst. Ce cheval de Troie s'est propagé via les mises à jour du logiciel, infectant potentiellement 18 000 clients de SolarWinds.
Parmi les victimes, on retrouve des poids lourds : le Trésor américain, le Pentagone, la NASA, et même des entreprises comme Microsoft. Cette attaque a révélé la vulnérabilité de la chaîne d'approvisionnement logicielle et a secoué le monde de la cybersécurité.
Les conséquences ont été énormes. SolarWinds a vu sa réputation sérieusement entachée. Les gouvernements ont dû revoir leurs stratégies de cybersécurité. Et les entreprises du monde entier ont réalisé qu'elles pouvaient être compromises par le biais de logiciels qu'elles pensaient sûrs.
On comprendra aisément pourquoi les correctifs s'enchaînent pour SolardWinds, qui conseille d'appliquer le dernier, en fournissant un tuto poussé dans sa déclaration.
Source : SolarWinds, SecurityWeek