Oficiálna stránka SK

Doména gov.sk je oficálna

Toto je oficiálna webová stránka orgánu verejnej moci Slovenskej republiky. Oficiálne stránky využívajú najmä doménu gov.sk. Odkazy na jednotlivé webové sídla orgánov verejnej moci nájdete na tomto odkaze.

Táto stránka je zabezpečená

Buďte pozorní a vždy sa uistite, že zdieľate informácie iba cez zabezpečenú webovú stránku verejnej správy SR. Zabezpečená stránka vždy začína https:// pred názvom domény webového sídla.

Mimoriadne kritická zraniteľnosť v systéme na správu vašich IT aktív

Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred kritickou zraniteľnosťou v systéme SolarWinds Orion, softvéri na monitoring a správu IT aktív.

Preto Národné centrum kybernetickej bezpečnosti SK-CERT odporúča okamžite vykonať nasledujúce opatrenia:

  • Okamžite izolujte všetky aktívne služby SolarWinds Orion od internetu aj vnútornej infraštruktúry v akejkoľvek verzii
  • Ak nie je možné úplne službu SolarWinds Orion úplne izolovať
    • Obmedzte pripojenie na zariadenia a to najmä na tie, ktoré sú kritickými aktívami
    • Obmedzte účty, ktoré majú v SolarWinds Orion administrátorské privilégiá
    • Izolujte službu SolarWinds, ako aj zariadenia s touto službou od internetu
  • Overte, či bola nainštalovaná kompromitovaná verzia softvéru SolarWinds Orion z obdobia marec 2020 až jún 2020
  • Overte, či sa vo vašej inštalácii softvéru nachádzajú škodlivé súbory, vymenované nižšie v IOC – ak áno, vaše systémy a služby boli kompromitované
  • Ak ste SolarWinds Orion prevádzkovali na virtuálnom serveri, uchovajte obraz pamäte aj disku vytvorením snapshotu za účelom neskoršej forenznej analýzy
  • Zvážte vyhľadanie expertnej pomoci pri vytvorení obrazu servera a vykonaní forenznej analýzy
  • Zmeňte prístupové údaje, ktorými sa systém SolarWinds Orion pripája na vzdialené zariadenia za účelom ich monitoringu a správy na nové, dostatočne kvalitné
  • Zmeňte aj všetky používateľské heslá a heslá technických účtov na systémoch na dostatočne silné a unikátne
  • Vykonajte kontrolu prítomnosti škodlivého kódu, ktorý mohol útočník na vašich systémoch dodatočne nainštalovať ako súčasť útoku využitím backdooru SUNBRUST alebo anomálnych sieťových spojení z cieľových systémov
  • V prípade, že sa niektoré z administrátorských, používateľských alebo technických hesiel používali aj na iných systémoch, zmeňte aj tieto heslá na dostatočne silné a unikátne
  • Nezabudnite na zmenu hesiel v aplikáciách nainštalovaných na dotknutých systémoch a obzvlášť na službách, ktoré sú prístupné z internetu
  • Ak sa na dotknutých systémoch vyskytovali prihlasovacie údaje k externým službám mimo vašej organizácie, zmeňte heslá aj v nich na silné a unikátne
  • Skontrolujte všetky dotknuté systémy na prítomnosť neznámych účtov
  • Kde to systém umožňuje, používajte na prihlasovanie dvojfaktorovú autentifikáciu
  • Identifikujte všetku sieťovú komunikáciu softvéru SolarWinds Orion a overte jej legitimitu. Zamerajte sa aj na odchádzajúce spojenia do internetu
  • Preverte na vašich perimetrových zariadeniach (firewall, IDS, IPS) komunikáciu so škodlivými URL adresami a C2 serverom
  • Na perimetrových zariadeniach (firewall, IDS, IPS) zablokujte komunikáciu na škodlivé URL a C2 adresy z IOC nižšie
  • Aktualizujte systémy a služby najnovšími aktualizačnými balíčkami
  • Po riadnom vyšetrení incidentu a vykonaní všetkých úkonov na zmiernenie a vyriešenie zraniteľnosti aplikujte aktualizáciu systému SolarWinds Orion. Pokiaľ je to možné, novú verziu softvéru aplikujte ako čistú inštaláciu na novonainštalovaný operačný systém
  • V prípade zistenia kybernetického bezpečnostného incidentu, spôsobeného touto zraniteľnosťou, ho nahláste Národnému centru kybernetickej bezpečnosti SK-CERT na https://www.sk-cert.sk/sk/rady-a-navody/nahlasit-incident/index.html
  • AK prevádzkujete softvér SolarWinds Orion, informujte nás o tom na [email protected], aby sme vám mohli pomôcť s vyšetrovaním

Dňa 14. 12. 2020 spoločnosť SolarWinds zverejnila na svojej webovej stránke[1] správu o tom, že spoločnosť sa dozvedela o sofistikovanom a pokročilom supply chain útoku[2], ktorý zasiahol všetky vydania softvéru od marca 2020 do júna 2020. Spoločnosť dostala informáciu, že malo ísť o štátom sponzorovaný útok mimo krajiny sídla spoločnosti a malo ísť o špecificky cielený a manuálne vykonaný útok.

Spoločnosť FireEye[3] dňa 13. 12. 2020 zverejnila analytickú správu o objavení globálnej kampane, zameranej na SolarWinds Orion prostredníctvom supply chain útoku. Podľa spoločnosti útočníci získali prístup k početným súkromným spoločnostiam ale aj verejným organizáciám po celom svete. Kampaň sa začala na jar roka 2020 a pokračuje doteraz.

Princípom útoku je backdoor, nazvaný SUNBRUST, ktorý sa nachádza v knižnici SolarWinds.Orion.Core.BusinessLayer.dll. Komponent komunikuje prostredníctvom HTTP protokolu s tretími stranami. Backdoor bol distribuovaný prostredníctvom legitímnych aktualizácií softvéru. Útočníci použili digitálne podpísané knižnice, čím sa snažili vyhnúť detekcii.

Dôsledkom prítomnosti backdooru v systéme je úplné narušenie dôvernosti, integrity a dostupnosti nie len softvéru SolarWinds Orion, ale aj ostatných systémov a služieb v organizácii. Prostredníctvom backdooru môže mať útočník prístup k prístupovým menám a heslám do systémov a služieb, vrátane prístupu k vysoko privilegovaným účtom.

Americká CISA dňa 14. 12. 2020 vydala[4] nariadenie, ktoré všetkým federálnym agentúram prikazuje kontrolu SolarWinds Orion systémov na prítomnosť IOC a zároveň odpojenie týchto systémov od internetu alebo ich úplné vypnutie.

IOC

V rámci analýzy kampane boli zverejnené aj tieto IOC, ktoré slúžia na identifikáciu škodlivých súborov a škodlivej komunikácie:

 

SÚBORY

SolarWinds.Orion.Core.BusinessLayer.dll 

OrionImprovementBusinessLayer.2.cs

app_web_logoimagehandler.ashx.b6031896.dll

C:\WINDOWS\SysWOW64\netsetupsvc.dll

 

C2 (RIADIACI) SERVER

avsvmcloud[.]com

 

HASH

b91ce2fa41029f6955bff20079468448

02af7cec58b9a5da1c542b5a32151ba1

2c4a910a1299cdae2a4e55988a2f102e

846e27a652a5e1bfbd0ddd38a16dc865

4f2eb62fa529c0283b28d05ddd311fae

56ceb6d0011d87b6e4d7023d7ef85676

 

URL

appsync-api.eu-west-1[.]avsvmcloud[.]com

appsync-api.us-west-2[.]avsvmcloud[.]com

appsync-api.us-east-1[.]avsvmcloud[.]com

appsync-api.us-east-2[.]avsvmcloud[.]com

deftsecurity[.]com

freescanonline[.]com 

thedoccloud[.]com

websitetheme[.]com

highdatabase[.]com

incomeupdate[.]com

databasegalore[.]com

panhardware[.]com

zupertech[.]com

 

Kompletný zoznam dostupných IOC môžete nájsť na adrese: https://github.com/fireeye/sunburst_countermeasures

Zdroje

[1] https://www.solarwinds.com/securityadvisory

[2] Útok, priamo na dodávateľa, keď do legitímnej verzie softvéru útočník implementuje škodlivý kód

[3] https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

[4] https://www.cisa.gov/news/2020/12/13/cisa-issues-emergency-directive-mitigate-compromise-solarwinds-orion-network

https://github.com/fireeye/sunburst_countermeasures 

https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/


« Späť na zoznam
Našli ste na stránke chybu?

Dôležité odkazy

Národný bezpečnostný úrad
ENISA
FIRST
TF-CSIRT

Copyright © 2025 Všetky práva vyhradené - Posledná aktualizácia 21. 08. 2025 12:53