SolarWinds SUNBURST

Door 14 december 2020 december 22nd, 2020 Blog, CERT, SOC
SolarWinds

SolarWinds heeft recent bekend gemaakt dat hun Orion software vanaf versie 2019.4 HF 5 tot 2020.2.1 door aanvallers ongeautoriseerd aangepast is. Inmiddels is deze gewijzigde versie niet meer beschikbaar via de SolarWinds-kanalen.

Op basis van de meest recente informatie wordt geadviseerd om zo snel mogelijk Orion systemen van de laatste updates (tenminste versie 2020.2.1 HF 1) te voorzien. Deze hotfix is maandag 14 december vrijgegeven, daarnaast wordt dinsdag 15 december 2020 een tweede hotfix verwacht – 2020.2.1 HF 2.

Dit betekent echter niet dat voor partijen waar de malafide versie reeds geïnstalleerd is, het probleem is opgelost. Indien de malafide software reeds actief is, bestaat de kans dat er  ongeautoriseerde toegang tot de infrastructuur is geweest. Hierdoor kan mogelijk malware door het netwerk worden verspreid en zijn aanvullende acties noodzakelijk! Wij geven hier in de paragraaf ‘Wat kun je doen om mogelijke schade te voorkomen of te beperken?’ verdere toelichting op.

Detailinfo kwetsbaarheid

Deze malafide aanpassing van de Orion software is vanaf versie 2019.4 HF 5 tot 2020.2.1 aanwezig. FireEye geeft het volgende aan over de functionaliteit van de aangepast Orion software:

After an initial dormant period of up to two weeks, it retrieves and executes commands, called “Jobs”, that include the ability to transfer files, execute files, profile the system, reboot the machine, and disable system services. The malware masquerades its network traffic as the Orion Improvement Program (OIP) protocol and stores reconnaissance results within legitimate plugin configuration files allowing it to blend in with legitimate SolarWinds activity. The backdoor uses multiple obfuscated blocklists to identify forensic and anti-virus tools running as processes, services, and drivers.

Mogelijk risico

Indien een systeem is voorzien van deze aangepaste software kan dit leiden tot verdere aanvallen binnen het netwerk. Het SolarWinds Orion systeem zou daardoor de eerste stap kunnen zijn in een grotere aanval. Hierdoor wordt het voor de malafide entiteit achter deze aanpassing mogelijk om zich verder door het netwerk te kunnen bewegen met alle gevolgen van dien.

Zijn mijn systemen kwetsbaar?

Vanaf versie 2019.4 HF 5 t/m versie 2020.2.1

Wat kun je doen om mogelijke schade te voorkomen of te beperken?

Indien SolarWinds Orion binnen jouw organisatie wordt gebruikt adviseren wij de volgende stappen te nemen:

  1. Update SolarWinds Orion systemen zo snel mogelijk. Indien updaten geen optie is dan is het mogelijk om aanpassingen te maken volgens de guidelines van SolarWinds;
  2. Blokkeer alle internet toegang voor SolarWinds systemen en isoleer het systeem voor verdere onderzoek;
  3. Pas wachtwoorden van accounts die op Orion gebruikt worden aan;
  4. Review recente wijzigingen die op netwerkcomponenten gemaakt zijn.
  5. Implementeer en monitor de nieuwe regels van FireEye zoals deze zijn vrijgegeven via het monitoringsysteem.
  6. Voer een historisch onderzoek uit naar communicatie/verbindingen met indicators uit de informatie van FireEye. Communicatie met avsvmcloud[.]com is een indicator of compromise met een zeer hoge betrouwbaarheid.

Bij SOC-klanten van Tesorion worden mogelijke aanvallen op SUNBURST via onze netwerksensoren gedetecteerd.

Bij verdere vragen met betrekking tot deze kwetsbaarheid, mogelijke twijfels of een systeem getroffen is of problemen bij de installatie en/of configuratie van de systemen kan je altijd contact met ons opnemen.

Heb je het vermoeden dat je getroffen bent door deze kwetsbaarheid, neem dan contact op met ons T-CERT, zij kunnen je verder adviseren en helpen bij de aanpak.