- Okamžite izolujte všetky aktívne služby SolarWinds Orion od internetu aj vnútornej infraštruktúry v akejkoľvek verzii
- Ak nie je možné službu SolarWinds Orion úplne izolovať
- Obmedzte pripojenie na zariadenia a to najmä na tie, ktoré sú kritickými aktívami
- Obmedzte účty, ktoré majú v SolarWinds Orion administrátorské privilégiá
- Izolujte službu SolarWinds, ako aj zariadenia s touto službou od internetu
- Overte, či bola nainštalovaná kompromitovaná verzia softvéru SolarWinds Orion z obdobia marec 2020 až jún 2020
- Overte, či sa vo vašej inštalácii softvéru nachádzajú škodlivé súbory (viď IOC) ak áno, vaše systémy a služby boli kompromitované
- Ak ste SolarWinds Orion prevádzkovali na virtuálnom serveri, uchovajte obraz pamäte aj disku vytvorením snapshotu za účelom neskoršej forenznej analýzy
- Zvážte vyhľadanie expertnej pomoci pri vytvorení obrazu servera a vykonaní forenznej analýzy
- Zmeňte prístupové údaje, ktorými sa systém SolarWinds Orion pripája na vzdialené zariadenia za účelom ich monitoringu a správy na nové, dostatočne kvalitné
- Zmeňte aj všetky používateľské heslá a heslá technických účtov na technických systémoch na dostatočne silné a unikátne
- Vykonajte kontrolu prítomnosti škodlivého kódu, ktorý mohol útočník na vašich systémoch dodatočne nainštalovať ako súčasť útoku využitím backdooru SUNBRUST alebo anomálnych sieťových spojení z cieľových systémov
- V prípade, že sa niektoré z administrátorských, používateľských alebo technických systémoch používali aj na iných systémoch, zmeňte aj tieto heslá na dostatočne silné a unikátne
- Nezabudnite na zmenu hesiel v aplikáciách nainštalovaných na dotknutých systémoch a obzvlášť na službách, ktoré sú prístupné z internetu
- Ak sa na dotknutých systémoch vyskytovali prihlasovacie údaje k externým službám mimo vašej organizácie, zmeňte heslá aj v nich na silné a unikátne
- Skontrolujte všetky dotknuté systémy na prítomnosť neznámych účtov
- Kde to systém umožňuje, používajte na prihlasovanie dvojfaktorovú autentifikáciu
- Identifikujte všetku sieťovú komunikáciu softvéru SolarWinds Orion a overte jej legitimitu. Zamerajte sa aj na odchádzajúce spojenia do internetu
- Preverte na vašich perimetrových zariadeniach (firewall, IDS, IPS) komunikáciu so škodlivými URL adresami a C2 serverom
- Na perimetrových zariadeniach (firewall, IDS, IPS) zablokujte komunikáciu na škodlivé URL a C2 adresy z IOC
- Aktualizujte systémy a služby najnovšími aktualizačnými balíčkami
- Po riadnom vyšetrení incidentu a vykonaní všetkých úkonov na zmiernenie a vyriešenie zraniteľnosti aplikujte aktualizáciu systému SolarWinds Orion. Pokiaľ je to možné, novú verziu softvéru aplikujte ako čistú inštaláciu na novonainštalovaný operačný systém
- V prípade zistenia kybernetického bezpečnostného incidentu, spôsobeného uvedenou zraniteľnosťou, tento nahláste Národnému centru kybernetickej bezpečnosti SK-CERT
|
