Solarwinds Orion kwetsbaarheid

Het Solarwinds Orion platform, wat gebruikt wordt door héél wat bedrijven, is ten prooi gevallen van hackers.

De betrokken versies zijn 2019.4 tot en met 2020.2.1. Deze worden momenteel geëxploiteerd door kwaadwillende actoren. Deze tactiek maakt het voor een aanvaller mogelijk om toegang te krijgen tot netwerkmanagementsystemen om malware te verspreiden.

Volgens Tweakers doen de hackers héél veel moeite om onopgemerkt te blijven. Ze gebruiken relatief weinig malware om door het netwerk te bewegen. Het is niet duidelijk of het einddoel van de aanvallers spionage is of dat ze bijvoorbeeld meer destructieve malware zoals ransomware willen verspreiden.

De Talos blog van onze partner Cisco meldt dat in een andere geavanceerde aanval op de supply chain de hackers de updates van de monitoring- en beheersoftware van SolarWinds Orion IT hebben gecompromitteerd, met een component genaamd “SolarWinds.Orion.Core.BusinessLayer.dll” in de versies 2019.4 HF 5 tot en met 2020.2.1. De digitaal ondertekende updates zijn van maart tot mei 2020 op de website van SolarWinds geplaatst. Deze achterdeur wordt door FireEye als SUNBURST gevolgd en kan met behulp van HTTP communiceren met servers van derden. De achterdeur wordt geopend door de eigenlijke SolarWinds uitvoerbare code vóór de werkelijke code, om het slachtoffer niet te waarschuwen dat er iets mis is.

Na een periode van rust, die tot twee weken kan duren, kan de achterdeur commando’s uitvoeren om bestanden over te dragen en uit te voeren, het systeem te wijzigen, de machine te herstarten en de systeemservices uit te schakelen.

Deze kwetsbaarheid kwam trouwens aan het licht daar er verschillende Amerikaanse overheidsbedrijven het slachtoffer waren van deze hack. Het Amerikaanse Cyber Security and Infrastructure Security Agency (CISA) heeft hierover bericht. De maatregelen voor Amerikaanse bedrijven gaan redelijk ver, waarbij er wordt aangeraden om alle Solarwinds diensten stop te zetten.

Solarwinds heeft hierover ook zelf geïnformeerd. Ze raden aan, voor de hierboven vermelde versies, om zo snel mogelijk het Orion platform te updaten naar versie 2020.2.1 HF2.

Silta onderhoudt deze producten eveneens. De hotfixes en systeemupdates werden deze laatste dagen allen doorgevoerd en extra systeemscans werden voorzien met Cisco AMP en FireEye. De “counter measures” van FireEye zijn terug te vinden op github.

 

Onze dedicated IT specialist aan het woord

Bij Silta ICT is het ons doel om u altijd zo precies en transparant mogelijk in te lichten over de laatste nieuwigheden. Met echte IT experten met hands-on kennis bent u zeker dat u altijd juist geïnformeerd bent.

Dit blogartikel werd geschreven door Tom Peeters

Tom is Service Delivery Manager bij Silta. Hij zorgt ervoor dat alle afspraken met onze klanten worden opgevolgd en nageleefd zodat ze te allen tijde tevreden zijn en op hun beide oren kunnen slapen. Tom speelt in zijn vrije tijd in een Mariachi band.

Gerelateerde onderwerpen

Mogelijk vindt u dit ook interessant

Het Purdue Model: Een heruitvinding voor de NIS2 Normering

De voordelen van Cloud Computing: Silta als uw vertrouwde adviseur

Silta: Teamwork naar een hoger niveau met Microsoft Teams op Cisco Webex Endpoints

Silta Team Event 2023

Cisco Live 2024: We nemen onze klanten mee!

Microsoft cloud services: Wat betekent de recente prijsverhoging voor u?

Opvallende trends in cyberaanvallen: wat kunt u als bedrijf doen?

De cloud en as-a-service-modellen als uw redder in nood: alles wat u moet weten over DraaS en BaaS

Cisco+ Secure Connect: een kant-en-klare SASE-oplossing voor meer veiligheid binnen het hybride werken

Hoe WiFi6(E) en OpenRoaming van Cisco het hybride werken ondersteunen