
Mimoriadne kritická zraniteľnosť v systéme na správu vašich IT aktív
Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred kritickou zraniteľnosťou v systéme SolarWinds Orion, softvéri na monitoring a správu IT aktív.
Preto Národné centrum kybernetickej bezpečnosti SK-CERT odporúča okamžite vykonať nasledujúce opatrenia:
- Okamžite izolujte všetky aktívne služby SolarWinds Orion od internetu aj vnútornej infraštruktúry v akejkoľvek verzii
- Ak nie je možné úplne službu SolarWinds Orion úplne izolovať
- Obmedzte pripojenie na zariadenia a to najmä na tie, ktoré sú kritickými aktívami
- Obmedzte účty, ktoré majú v SolarWinds Orion administrátorské privilégiá
- Izolujte službu SolarWinds, ako aj zariadenia s touto službou od internetu
- Overte, či bola nainštalovaná kompromitovaná verzia softvéru SolarWinds Orion z obdobia marec 2020 až jún 2020
- Overte, či sa vo vašej inštalácii softvéru nachádzajú škodlivé súbory, vymenované nižšie v IOC – ak áno, vaše systémy a služby boli kompromitované
- Ak ste SolarWinds Orion prevádzkovali na virtuálnom serveri, uchovajte obraz pamäte aj disku vytvorením snapshotu za účelom neskoršej forenznej analýzy
- Zvážte vyhľadanie expertnej pomoci pri vytvorení obrazu servera a vykonaní forenznej analýzy
- Zmeňte prístupové údaje, ktorými sa systém SolarWinds Orion pripája na vzdialené zariadenia za účelom ich monitoringu a správy na nové, dostatočne kvalitné
- Zmeňte aj všetky používateľské heslá a heslá technických účtov na systémoch na dostatočne silné a unikátne
- Vykonajte kontrolu prítomnosti škodlivého kódu, ktorý mohol útočník na vašich systémoch dodatočne nainštalovať ako súčasť útoku využitím backdooru SUNBRUST alebo anomálnych sieťových spojení z cieľových systémov
- V prípade, že sa niektoré z administrátorských, používateľských alebo technických hesiel používali aj na iných systémoch, zmeňte aj tieto heslá na dostatočne silné a unikátne
- Nezabudnite na zmenu hesiel v aplikáciách nainštalovaných na dotknutých systémoch a obzvlášť na službách, ktoré sú prístupné z internetu
- Ak sa na dotknutých systémoch vyskytovali prihlasovacie údaje k externým službám mimo vašej organizácie, zmeňte heslá aj v nich na silné a unikátne
- Skontrolujte všetky dotknuté systémy na prítomnosť neznámych účtov
- Kde to systém umožňuje, používajte na prihlasovanie dvojfaktorovú autentifikáciu
- Identifikujte všetku sieťovú komunikáciu softvéru SolarWinds Orion a overte jej legitimitu. Zamerajte sa aj na odchádzajúce spojenia do internetu
- Preverte na vašich perimetrových zariadeniach (firewall, IDS, IPS) komunikáciu so škodlivými URL adresami a C2 serverom
- Na perimetrových zariadeniach (firewall, IDS, IPS) zablokujte komunikáciu na škodlivé URL a C2 adresy z IOC nižšie
- Aktualizujte systémy a služby najnovšími aktualizačnými balíčkami
- Po riadnom vyšetrení incidentu a vykonaní všetkých úkonov na zmiernenie a vyriešenie zraniteľnosti aplikujte aktualizáciu systému SolarWinds Orion. Pokiaľ je to možné, novú verziu softvéru aplikujte ako čistú inštaláciu na novonainštalovaný operačný systém
- V prípade zistenia kybernetického bezpečnostného incidentu, spôsobeného touto zraniteľnosťou, ho nahláste Národnému centru kybernetickej bezpečnosti SK-CERT na https://www.sk-cert.sk/sk/rady-a-navody/nahlasit-incident/index.html
- AK prevádzkujete softvér SolarWinds Orion, informujte nás o tom na [email protected], aby sme vám mohli pomôcť s vyšetrovaním
Dňa 14. 12. 2020 spoločnosť SolarWinds zverejnila na svojej webovej stránke[1] správu o tom, že spoločnosť sa dozvedela o sofistikovanom a pokročilom supply chain útoku[2], ktorý zasiahol všetky vydania softvéru od marca 2020 do júna 2020. Spoločnosť dostala informáciu, že malo ísť o štátom sponzorovaný útok mimo krajiny sídla spoločnosti a malo ísť o špecificky cielený a manuálne vykonaný útok.
Spoločnosť FireEye[3] dňa 13. 12. 2020 zverejnila analytickú správu o objavení globálnej kampane, zameranej na SolarWinds Orion prostredníctvom supply chain útoku. Podľa spoločnosti útočníci získali prístup k početným súkromným spoločnostiam ale aj verejným organizáciám po celom svete. Kampaň sa začala na jar roka 2020 a pokračuje doteraz.
Princípom útoku je backdoor, nazvaný SUNBRUST, ktorý sa nachádza v knižnici SolarWinds.Orion.Core.BusinessLayer.dll. Komponent komunikuje prostredníctvom HTTP protokolu s tretími stranami. Backdoor bol distribuovaný prostredníctvom legitímnych aktualizácií softvéru. Útočníci použili digitálne podpísané knižnice, čím sa snažili vyhnúť detekcii.
Dôsledkom prítomnosti backdooru v systéme je úplné narušenie dôvernosti, integrity a dostupnosti nie len softvéru SolarWinds Orion, ale aj ostatných systémov a služieb v organizácii. Prostredníctvom backdooru môže mať útočník prístup k prístupovým menám a heslám do systémov a služieb, vrátane prístupu k vysoko privilegovaným účtom.
Americká CISA dňa 14. 12. 2020 vydala[4] nariadenie, ktoré všetkým federálnym agentúram prikazuje kontrolu SolarWinds Orion systémov na prítomnosť IOC a zároveň odpojenie týchto systémov od internetu alebo ich úplné vypnutie.
IOC
V rámci analýzy kampane boli zverejnené aj tieto IOC, ktoré slúžia na identifikáciu škodlivých súborov a škodlivej komunikácie:
SÚBORY
SolarWinds.Orion.Core.BusinessLayer.dll
OrionImprovementBusinessLayer.2.cs
app_web_logoimagehandler.ashx.b6031896.dll
C:\WINDOWS\SysWOW64\netsetupsvc.dll
C2 (RIADIACI) SERVER
avsvmcloud[.]com
HASH
b91ce2fa41029f6955bff20079468448
02af7cec58b9a5da1c542b5a32151ba1
2c4a910a1299cdae2a4e55988a2f102e
846e27a652a5e1bfbd0ddd38a16dc865
4f2eb62fa529c0283b28d05ddd311fae
56ceb6d0011d87b6e4d7023d7ef85676
URL
appsync-api.eu-west-1[.]avsvmcloud[.]com
appsync-api.us-west-2[.]avsvmcloud[.]com
appsync-api.us-east-1[.]avsvmcloud[.]com
appsync-api.us-east-2[.]avsvmcloud[.]com
deftsecurity[.]com
freescanonline[.]com
thedoccloud[.]com
websitetheme[.]com
highdatabase[.]com
incomeupdate[.]com
databasegalore[.]com
panhardware[.]com
zupertech[.]com
Kompletný zoznam dostupných IOC môžete nájsť na adrese: https://github.com/fireeye/sunburst_countermeasures
Zdroje
[1] https://www.solarwinds.com/securityadvisory
[2] Útok, priamo na dodávateľa, keď do legitímnej verzie softvéru útočník implementuje škodlivý kód
[3] https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
[4] https://www.cisa.gov/news/2020/12/13/cisa-issues-emergency-directive-mitigate-compromise-solarwinds-orion-network
https://github.com/fireeye/sunburst_countermeasures
https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/
« Späť na zoznam