Trellix a annoncé que le code source interne de certaines parties de son portefeuille de produits a été consulté sans autorisation. Le matériel affecté concerne uniquement le code de développement des produits et n'inclut pas les environnements ou les données des clients. Il n'y a aucune indication de modification malveillante des artefacts logiciels publiés.
Trellix est une entreprise mondiale de cybersécurité créée en 2022 par la fusion de McAfee Enterprise et FireEye après leur acquisition par Symphony Technology Group. L'entreprise fournit des solutions de détection et de réponse étendues (XDR), de sécurité des terminaux, de sécurité du courrier électronique, de renseignement sur les menaces et de réponse aux incidents aux entreprises et aux organisations gouvernementales du monde entier.
Bien qu'il n'y ait aucune preuve de compromission de clients ou de falsification de logiciels, l'accès non autorisé au code source d'un fournisseur de cybersécurité peut fournir à des adversaires avancés des informations qui pourraient être utilisées pour développer des techniques d'évasion de détection ou pour accélérer la recherche de vulnérabilités.
Possibilité d'échapper à la détection grâce à l'analyse de la logique interne et de l'heuristique.
Découverte accélérée de faiblesses ou de cas limites dans les contrôles défensifs.
Augmentation de la valeur des renseignements pour les acteurs de la menace qui ciblent les environnements intégrés avec les produits Trellix.
Risque stratégique à long terme plutôt que risque d'exploitation immédiate.
Aucune action immédiate n'est requise de la part des clients, mais par précaution, les organisations devraient :
Continuer à appliquer les mises à jour des produits.
Surveiller les comportements anormaux.
Maintenir des architectures de sécurité de défense en profondeur.
En réponse à cet incident, Trellix a pris les mesures suivantes :
Engagement des autorités chargées de l'application de la loi
Engagement avec des experts légaux tiersde premier plan
Analyse médico-légale des systèmes affectés
Examen complet des référentiels de code source et des journaux d'accès.
Réalisation d'un audit complet du cycle de développement sécurisé (SDLC), confirmant qu'il n'a pas été altéré.
Réalisation d'audits confirmant qu'aucune modification non autorisée n'a été apportée au code source
validation des artefacts logiciels publiés et des processus de distribution.
Sur la base de l'enquête menée à ce jour :
Aucune preuve de modification malveillante du code source n'a été identifiée.
Rien n'indique que le processus de publication ou de distribution du code source ait été affecté.
Rien n'indique que des environnements ou des données de clients aient été consultés.
Rien n'indique que le code source consulté ait été exploité.
Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bien prenez contact avecnous poursavoir comment vous pouvez protéger votre organisation.