La liste des victimes de l'affaire Solorigate, ou SolarWinds ne cesse de s'allonger. Après plusieurs services d'Etats américains, après Microsoft et Malwarebytes entres autres, les sociétés Mimecast, Palo Alto Networks, Qualys et Fidelis ont elles aussi été victime de l'attaque, nous apprend notre confrère ZDNet.

Toutes ses sociétés ont pour point commun d'utiliser le logiciel Orion de SolarWinds, logiciel vecteur de l'attaque via une faille de sécurité qui y a été découverte.

Les 4 sociétés ont confirmé avoir été attaquées, et même s'il s'agit de fournisseurs de solutions de cybersécurité, les conséquences de l'attaque ne sont pas forcément graves. Toutes assurent avoir immédiatement réagi et les systèmes attaqués n'étaient pas toujours vitaux.

Par exemple Chris Kubic de Fideles, assure : L'installation du logiciel [Orion] a été attribuée à une machine configurée comme un système de test, isolée de notre réseau central et rarement sous tension.

Qualys à déclaré à Forbes que l'intrusion n'était pas aussi importante qu'il n'y paraissait, affirmant que ses ingénieurs avaient installé une version cheval de Troie de l'application SolarWinds Orion dans un environnement de laboratoire à des fins de test, distinct de son réseau principal.

Palo Alto Networks écrit : Récemment, nous avons tenté de télécharger Cobalt Strike sur l'un de nos serveurs informatiques SolarWinds. Cortex XDR a immédiatement bloqué la tentative avec notre capacité de protection contre les menaces comportementales et notre SOC a isolé le serveur, enquêté sur l'incident et sécurisé notre infrastructure. [...]  Nous pensions qu'il s'agissait d'un incident isolé, cependant, le 13 décembre, nous avons pris conscience que la chaîne d'approvisionnement du logiciel SolarWinds était compromise et il est devenu clair que l'incident que nous avons évité était une tentative d'attaque SolarStorm.

Les pirates ont quand même réussi à compromettre un certificat de sécurité Mimecast et à voler des données à la société qui écrit, dans un billet : Comme nous l'avons indiqué précédemment, lorsque Microsoft nous a informés de la compromission d'un certificat émis par Mimecast utilisé pour authentifier un sous-ensemble de produits Mimecast, nous avons conseillé aux clients concernés de rompre et de rétablir leurs connexions avec les clés nouvellement émises. La grande majorité de ces clients ont pris cette mesure et Microsoft a désormais désactivé l'utilisation des anciennes clés de connexion pour tous les clients Mimecast concernés. [...] Notre enquête a également montré que l'auteur de la menace avait accédé à, et potentiellement exfiltré, certaines informations d'identification de compte de service cryptées créées par des clients hébergés aux États-Unis et au Royaume-Uni. Ces informations d'identification établissent des connexions entre les locataires Mimecast et les services sur site et cloud, qui incluent LDAP, Azure Active Directory, les services Web Exchange, la journalisation POP3 et les itinéraires de livraison authentifiés SMTP.

Mimecast précise : Bien que nous ne sachions pas qu'aucune des informations d'identification cryptées n'a été décryptée ou utilisée à mauvais escient, nous conseillons aux clients hébergés aux États-Unis et au Royaume-Uni de prendre des mesures de précaution pour réinitialiser leurs informations d'identification.