Mimoriadne kritická zraniteľnosť v systéme na správu vašich IT aktív

Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred kritickou zraniteľnosťou v systéme SolarWinds Orion, softvéri na monitoring a správu IT aktív.

Preto Národné centrum kybernetickej bezpečnosti SK-CERT odporúča okamžite vykonať nasledujúce opatrenia:

  • Okamžite izolujte všetky aktívne služby SolarWinds Orion od internetu aj vnútornej infraštruktúry v akejkoľvek verzii
  • Ak nie je možné úplne službu SolarWinds Orion úplne izolovať
    • Obmedzte pripojenie na zariadenia a to najmä na tie, ktoré sú kritickými aktívami
    • Obmedzte účty, ktoré majú v SolarWinds Orion administrátorské privilégiá
    • Izolujte službu SolarWinds, ako aj zariadenia s touto službou od internetu
  • Overte, či bola nainštalovaná kompromitovaná verzia softvéru SolarWinds Orion z obdobia marec 2020 až jún 2020
  • Overte, či sa vo vašej inštalácii softvéru nachádzajú škodlivé súbory, vymenované nižšie v IOC – ak áno, vaše systémy a služby boli kompromitované
  • Ak ste SolarWinds Orion prevádzkovali na virtuálnom serveri, uchovajte obraz pamäte aj disku vytvorením snapshotu za účelom neskoršej forenznej analýzy
  • Zvážte vyhľadanie expertnej pomoci pri vytvorení obrazu servera a vykonaní forenznej analýzy
  • Zmeňte prístupové údaje, ktorými sa systém SolarWinds Orion pripája na vzdialené zariadenia za účelom ich monitoringu a správy na nové, dostatočne kvalitné
  • Zmeňte aj všetky používateľské heslá a heslá technických účtov na systémoch na dostatočne silné a unikátne
  • Vykonajte kontrolu prítomnosti škodlivého kódu, ktorý mohol útočník na vašich systémoch dodatočne nainštalovať ako súčasť útoku využitím backdooru SUNBRUST alebo anomálnych sieťových spojení z cieľových systémov
  • V prípade, že sa niektoré z administrátorských, používateľských alebo technických hesiel používali aj na iných systémoch, zmeňte aj tieto heslá na dostatočne silné a unikátne
  • Nezabudnite na zmenu hesiel v aplikáciách nainštalovaných na dotknutých systémoch a obzvlášť na službách, ktoré sú prístupné z internetu
  • Ak sa na dotknutých systémoch vyskytovali prihlasovacie údaje k externým službám mimo vašej organizácie, zmeňte heslá aj v nich na silné a unikátne
  • Skontrolujte všetky dotknuté systémy na prítomnosť neznámych účtov
  • Kde to systém umožňuje, používajte na prihlasovanie dvojfaktorovú autentifikáciu
  • Identifikujte všetku sieťovú komunikáciu softvéru SolarWinds Orion a overte jej legitimitu. Zamerajte sa aj na odchádzajúce spojenia do internetu
  • Preverte na vašich perimetrových zariadeniach (firewall, IDS, IPS) komunikáciu so škodlivými URL adresami a C2 serverom
  • Na perimetrových zariadeniach (firewall, IDS, IPS) zablokujte komunikáciu na škodlivé URL a C2 adresy z IOC nižšie
  • Aktualizujte systémy a služby najnovšími aktualizačnými balíčkami
  • Po riadnom vyšetrení incidentu a vykonaní všetkých úkonov na zmiernenie a vyriešenie zraniteľnosti aplikujte aktualizáciu systému SolarWinds Orion. Pokiaľ je to možné, novú verziu softvéru aplikujte ako čistú inštaláciu na novonainštalovaný operačný systém
  • V prípade zistenia kybernetického bezpečnostného incidentu, spôsobeného touto zraniteľnosťou, ho nahláste Národnému centru kybernetickej bezpečnosti SK-CERT na https://www.sk-cert.sk/sk/rady-a-navody/nahlasit-incident/index.html
  • AK prevádzkujete softvér SolarWinds Orion, informujte nás o tom na [email protected], aby sme vám mohli pomôcť s vyšetrovaním

Dňa 14. 12. 2020 spoločnosť SolarWinds zverejnila na svojej webovej stránke[1] správu o tom, že spoločnosť sa dozvedela o sofistikovanom a pokročilom supply chain útoku[2], ktorý zasiahol všetky vydania softvéru od marca 2020 do júna 2020. Spoločnosť dostala informáciu, že malo ísť o štátom sponzorovaný útok mimo krajiny sídla spoločnosti a malo ísť o špecificky cielený a manuálne vykonaný útok.

Spoločnosť FireEye[3] dňa 13. 12. 2020 zverejnila analytickú správu o objavení globálnej kampane, zameranej na SolarWinds Orion prostredníctvom supply chain útoku. Podľa spoločnosti útočníci získali prístup k početným súkromným spoločnostiam ale aj verejným organizáciám po celom svete. Kampaň sa začala na jar roka 2020 a pokračuje doteraz.

Princípom útoku je backdoor, nazvaný SUNBRUST, ktorý sa nachádza v knižnici SolarWinds.Orion.Core.BusinessLayer.dll. Komponent komunikuje prostredníctvom HTTP protokolu s tretími stranami. Backdoor bol distribuovaný prostredníctvom legitímnych aktualizácií softvéru. Útočníci použili digitálne podpísané knižnice, čím sa snažili vyhnúť detekcii.

Dôsledkom prítomnosti backdooru v systéme je úplné narušenie dôvernosti, integrity a dostupnosti nie len softvéru SolarWinds Orion, ale aj ostatných systémov a služieb v organizácii. Prostredníctvom backdooru môže mať útočník prístup k prístupovým menám a heslám do systémov a služieb, vrátane prístupu k vysoko privilegovaným účtom.

Americká CISA dňa 14. 12. 2020 vydala[4] nariadenie, ktoré všetkým federálnym agentúram prikazuje kontrolu SolarWinds Orion systémov na prítomnosť IOC a zároveň odpojenie týchto systémov od internetu alebo ich úplné vypnutie.

IOC

V rámci analýzy kampane boli zverejnené aj tieto IOC, ktoré slúžia na identifikáciu škodlivých súborov a škodlivej komunikácie:

 

SÚBORY

SolarWinds.Orion.Core.BusinessLayer.dll 

OrionImprovementBusinessLayer.2.cs

app_web_logoimagehandler.ashx.b6031896.dll

C:\WINDOWS\SysWOW64\netsetupsvc.dll

 

C2 (RIADIACI) SERVER

avsvmcloud[.]com

 

HASH

b91ce2fa41029f6955bff20079468448

02af7cec58b9a5da1c542b5a32151ba1

2c4a910a1299cdae2a4e55988a2f102e

846e27a652a5e1bfbd0ddd38a16dc865

4f2eb62fa529c0283b28d05ddd311fae

56ceb6d0011d87b6e4d7023d7ef85676

 

URL

appsync-api.eu-west-1[.]avsvmcloud[.]com

appsync-api.us-west-2[.]avsvmcloud[.]com

appsync-api.us-east-1[.]avsvmcloud[.]com

appsync-api.us-east-2[.]avsvmcloud[.]com

deftsecurity[.]com

freescanonline[.]com 

thedoccloud[.]com

websitetheme[.]com

highdatabase[.]com

incomeupdate[.]com

databasegalore[.]com

panhardware[.]com

zupertech[.]com

 

Kompletný zoznam dostupných IOC môžete nájsť na adrese: https://github.com/fireeye/sunburst_countermeasures

Zdroje

[1] https://www.solarwinds.com/securityadvisory

[2] Útok, priamo na dodávateľa, keď do legitímnej verzie softvéru útočník implementuje škodlivý kód

[3] https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

[4] https://www.cisa.gov/news/2020/12/13/cisa-issues-emergency-directive-mitigate-compromise-solarwinds-orion-network

https://github.com/fireeye/sunburst_countermeasures 

https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/


« Späť na zoznam