SK-CERT Bezpečnostné varovanie V20201214-01

Dôležitosť Kritická
Klasifikácia Neutajované/TLP WHITE
CVSS Skóre
10.0
Identifikátor
SolarWinds Orion – supply chain attack
Popis
Bezpečnostní výskumníci informovali o škodlivej bezpečnostnej aktualizácii produktu SolarWinds Orion, ktorá obsahovala malvér Sunburst a bola používateľom distribuovaná v oficiálnych verziách 2019.4 až 2020.2 HF1 vydaných v marci až júni 2020.
Všetky systémy, v ktorých boli nainštalované uvedené verzie je nutné považovať za kompromitované.
Dátum prvého zverejnenia varovania
14.12.2020
CVE
IOC
Súbory:
SolarWinds.Orion.Core.BusinessLayer.dll
OrionImprovementBusinessLayer.2.cs
app_web_logoimagehandler.ashx.b6031896.dll
C:\WINDOWS\SysWOW64\netsetupsvc.dll

HASH:
b91ce2fa41029f6955bff20079468448
02af7cec58b9a5da1c542b5a32151ba1
2c4a910a1299cdae2a4e55988a2f102e
846e27a652a5e1bfbd0ddd38a16dc865
4f2eb62fa529c0283b28d05ddd311fae
56ceb6d0011d87b6e4d7023d7ef85676

URL:
appsync-api.eu-west-1[.]avsvmcloud[.]com
appsync-api.us-west-2[.]avsvmcloud[.]com
appsync-api.us-east-1[.]avsvmcloud[.]com
appsync-api.us-east-2[.]avsvmcloud[.]com
deftsecurity[.]com
freescanonline[.]com
thedoccloud[.]com
websitetheme[.]com
highdatabase[.]com
incomeupdate[.]com
databasegalore[.]com
panhardware[.]com
zupertech[.]com

Zasiahnuté systémy
SolarWinds Orion verzie 2019.4 až 2020.2 HF1
Následky
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému
Odporúčania
  • Okamžite izolujte všetky aktívne služby SolarWinds Orion od internetu aj vnútornej infraštruktúry v akejkoľvek verzii
  • Ak nie je možné službu SolarWinds Orion úplne izolovať
    • Obmedzte pripojenie na zariadenia a to najmä na tie, ktoré sú kritickými aktívami
    • Obmedzte účty, ktoré majú v SolarWinds Orion administrátorské privilégiá
    • Izolujte službu SolarWinds, ako aj zariadenia s touto službou od internetu
  • Overte, či bola nainštalovaná kompromitovaná verzia softvéru SolarWinds Orion z obdobia marec 2020 až jún 2020
  • Overte, či sa vo vašej inštalácii softvéru nachádzajú škodlivé súbory (viď IOC) ak áno, vaše systémy a služby boli kompromitované
  • Ak ste SolarWinds Orion prevádzkovali na virtuálnom serveri, uchovajte obraz pamäte aj disku vytvorením snapshotu za účelom neskoršej forenznej analýzy
  • Zvážte vyhľadanie expertnej pomoci pri vytvorení obrazu servera a vykonaní forenznej analýzy
  • Zmeňte prístupové údaje, ktorými sa systém SolarWinds Orion pripája na vzdialené zariadenia za účelom ich monitoringu a správy na nové, dostatočne kvalitné
  • Zmeňte aj všetky používateľské heslá a heslá technických účtov na technických systémoch na dostatočne silné a unikátne
  • Vykonajte kontrolu prítomnosti škodlivého kódu, ktorý mohol útočník na vašich systémoch dodatočne nainštalovať ako súčasť útoku využitím backdooru SUNBRUST alebo anomálnych sieťových spojení z cieľových systémov
  • V prípade, že sa niektoré z administrátorských, používateľských alebo technických systémoch používali aj na iných systémoch, zmeňte aj tieto heslá na dostatočne silné a unikátne
  • Nezabudnite na zmenu hesiel v aplikáciách nainštalovaných na dotknutých systémoch a obzvlášť na službách, ktoré sú prístupné z internetu
  • Ak sa na dotknutých systémoch vyskytovali prihlasovacie údaje k externým službám mimo vašej organizácie, zmeňte heslá aj v nich na silné a unikátne
  • Skontrolujte všetky dotknuté systémy na prítomnosť neznámych účtov
  • Kde to systém umožňuje, používajte na prihlasovanie dvojfaktorovú autentifikáciu
  • Identifikujte všetku sieťovú komunikáciu softvéru SolarWinds Orion a overte jej legitimitu. Zamerajte sa aj na odchádzajúce spojenia do internetu
  • Preverte na vašich perimetrových zariadeniach (firewall, IDS, IPS) komunikáciu so škodlivými URL adresami a C2 serverom
  • Na perimetrových zariadeniach (firewall, IDS, IPS) zablokujte komunikáciu na škodlivé URL a C2 adresy z IOC
  • Aktualizujte systémy a služby najnovšími aktualizačnými balíčkami
  • Po riadnom vyšetrení incidentu a vykonaní všetkých úkonov na zmiernenie a vyriešenie zraniteľnosti aplikujte aktualizáciu systému SolarWinds Orion. Pokiaľ je to možné, novú verziu softvéru aplikujte ako čistú inštaláciu na novonainštalovaný operačný systém
  • V prípade zistenia kybernetického bezpečnostného incidentu, spôsobeného uvedenou zraniteľnosťou, tento nahláste Národnému centru kybernetickej bezpečnosti SK-CERT
Zdroje
https://cyber.dhs.gov/ed/21-01/
https://www.zdnet.com/article/microsoft-fireeye-confirm-solarwinds-supply-chain-attack/
https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
https://www.fireeye.com/blog/products-and-services/2020/12/global-intrusion-campaign-leverages-software-supply-chain-compromise.html
https://github.com/fireeye/sunburst_countermeasures/blob/main/indicator_release/Indicator_Release_Hashes.csv
https://github.com/fireeye/sunburst_countermeasures/blob/main/indicator_release/Indicator_Release_NBIs.csv
https://www.solarwinds.com/securityadvisory

« Späť na zoznam