Upozorenje o ranjivosti platforme Orion SolarWinds
Tvrtka SolarWinds izvijestila je o sofisticiranom napadu na lanac distribucije na njihovoj platformi Orion. Tvrtka je objavila sigurnosnu obavijest u kojoj se potvrđuje identifikacija i iskorištavanje ranjivosti na Orion platformi, verzijama od 2019.4 HF 5 do 2020.2.1, objavljenima od ožujka do lipnja 2020.
Tvrtka FireEye je nazvala ovaj zlonamjerni kod SUNBURST te objavila tehnički izvještaj, zajedno s pravilima za prepoznavanje i mitigacijskim mjerama.
Temeljem analize tvrtke FireEye, kampanja uključuje sljedeće elemente:
-
Korištenje zlonamjerne SolarWinds nadogradnje – umetanje zlonamjernog koda u legitimnu programsku nadogradnju za Orion platformu koja napadaču omogućava udaljeni pristup kompromitiranom sustavu
-
Minimalne modifikacije legitimnog programskog paketa, u svrhu izbjegavanja detekcije od strane obrambenih mehanizama
-
Prikrivanje djelovanja dugotrajnim izviđanjem i prilagodba uobičajenim mrežnim aktivnostima te korištenje alata koje je teško atribuirati.
Inicijalna analiza utjecaja ukazuje da uspješna kompromitacija ciljanog uređaja može dovesti do maksimalno negativnog utjecaja na njegov integritet, te da je rizik za sve povezane sustave visok.
Predložene mitigacijske mjere su kako slijedi:
-
Primarna mjera je postavljanje Orion platforme iza vatrozida, onemogućavanje pristupa Internetu Orion platformi i ograničavanje korištenja portova i ostalih konekcija na nužne
-
Iako su prvotne informacije ukazivale da verzija 2020.2.1 nije zahvaćena, posljednja izvješća ukazuju na to da su verzije do i uključivo sa 2020.2.1 HF1 također ranjive
-
Dodatna brza nadogradnja, 2020.2.1 HF 2 je dostupna
-
FireEye pravila prepoznavanja i mitigacijske mjere mogu se pratiti na: https://github.com/fireeye/sunburst_countermeasures