15 december 2020

Solarwinds Orion kwetsbaarheid

Het Solarwinds Orion platform, wat gebruikt wordt door héél wat bedrijven, is ten prooi gevallen van hackers.

De betrokken versies zijn 2019.4 tot en met 2020.2.1. Deze worden momenteel geëxploiteerd door kwaadwillende actoren. Deze tactiek maakt het voor een aanvaller mogelijk om toegang te krijgen tot netwerkmanagementsystemen om malware te verspreiden.

Volgens Tweakers doen de hackers héél veel moeite om onopgemerkt te blijven. Ze gebruiken relatief weinig malware om door het netwerk te bewegen. Het is niet duidelijk of het einddoel van de aanvallers spionage is of dat ze bijvoorbeeld meer destructieve malware zoals ransomware willen verspreiden.

De Talos blog van onze partner Cisco meldt dat in een andere geavanceerde aanval op de supply chain de hackers de updates van de monitoring- en beheersoftware van SolarWinds Orion IT hebben gecompromitteerd, met een component genaamd “SolarWinds.Orion.Core.BusinessLayer.dll” in de versies 2019.4 HF 5 tot en met 2020.2.1. De digitaal ondertekende updates zijn van maart tot mei 2020 op de website van SolarWinds geplaatst. Deze achterdeur wordt door FireEye als SUNBURST gevolgd en kan met behulp van HTTP communiceren met servers van derden. De achterdeur wordt geopend door de eigenlijke SolarWinds uitvoerbare code vóór de werkelijke code, om het slachtoffer niet te waarschuwen dat er iets mis is.

Na een periode van rust, die tot twee weken kan duren, kan de achterdeur commando’s uitvoeren om bestanden over te dragen en uit te voeren, het systeem te wijzigen, de machine te herstarten en de systeemservices uit te schakelen.

Deze kwetsbaarheid kwam trouwens aan het licht daar er verschillende Amerikaanse overheidsbedrijven het slachtoffer waren van deze hack. Het Amerikaanse Cyber Security and Infrastructure Security Agency (CISA) heeft hierover bericht. De maatregelen voor Amerikaanse bedrijven gaan redelijk ver, waarbij er wordt aangeraden om alle Solarwinds diensten stop te zetten.

Solarwinds heeft hierover ook zelf geïnformeerd. Ze raden aan, voor de hierboven vermelde versies, om zo snel mogelijk het Orion platform te updaten naar versie 2020.2.1 HF2.

Silta onderhoudt deze producten eveneens. De hotfixes en systeemupdates werden deze laatste dagen allen doorgevoerd en extra systeemscans werden voorzien met Cisco AMP en FireEye. De “counter measures” van FireEye zijn terug te vinden op github.