Explotación activa de SolarWinds | Orion Platform

Tipo de alerta Vulnerabilidad
Fecha de publicación: diciembre 14, 2020 4:45 pm Nivel de importancia: Alta

Sistemas Afectados

  • SolarWinds | Orion Platform

Versiones

  • versiones 2019.4 HF 5

Descripción

Se ha detectado una manipulación del  producto SolarWinds| Orion, mediante un ataque producido a su cadena de actualización, inyectando DDL maliciosa a su plataforma Orion que permitió distribuir malware altamente sofisticado, haciendo uso de herramientas como cobal strike personalizado y con esto permitiendo la exfiltración de datos con la herramienta sunburst  a sistemas de empresas que usan la tecnología de la empresa incluyendo sector gobierno y militar como también empresas privadas, a través de un ataque manual altamente sofisticado a la cadena de suministro en las compilaciones de software de la plataforma SolarWinds® Orion® para las versiones 2019.4 HF 5 hasta 2020.2.1, lanzadas entre marzo de 2020 y junio de 2020.

Referencia

El CNCS anima a las organizaciones afectadas a leer los avisos de SolarWinds y FireEye para obtener más información y la página de GitHub de FireEye para contramedidas de detección:

  • Aviso de seguridad de SolarWinds
  • Aviso de FireEye: un atacante altamente evasivo aprovecha la cadena de suministro de SolarWinds para comprometer a múltiples víctimas globales con SUNBURST Backdoor, lo cual le permitió a este grupo obtener herramientas internas de la empresa usar lista de IOC para su protección.

Recomendaciones

  • Asegúrese de que los servidores SolarWinds estén aislados / contenidos hasta que se lleve a cabo una revisión e investigación adicionales. Esto debería incluir el bloqueo de todas las salidas de Internet de los servidores SolarWinds.
  • Si la infraestructura de SolarWinds no está aislada, considere realizar los siguientes pasos:
  • Restrinja el alcance de la conectividad a los puntos finales de los servidores SolarWinds, especialmente aquellos que se considerarían activos de nivel 0 / joya de la corona
  • Restrinja el alcance de las cuentas que tienen privilegios de administrador local en los servidores SolarWinds.
  • Bloquee la salida de Internet desde servidores u otros puntos finales con el software SolarWinds.
  • Considere (como mínimo) cambiar las contraseñas de las cuentas que tienen acceso a los servidores / infraestructura de SolarWinds. Con base en una revisión / investigación adicional, es posible que se requieran medidas correctivas adicionales.
  • Si SolarWinds se utiliza para administrar la infraestructura de red, considere realizar una revisión de las configuraciones de los dispositivos de red para detectar modificaciones inesperadas o no autorizadas. Tenga en cuenta que esta es una medida proactiva debido al alcance de la funcionalidad de SolarWinds, no basada en hallazgos de investigación.
Ir al contenido