Versie:
1.0
Getroffen software:
Orion van SolarWinds
Type aanval:
Supply Chain
Datum:
2020-12-14
Doel
Het doel van deze waarschuwing is om klanten van SolarWinds, die de Orion-software gebruiken, te waarschuwen voor een potentieel veiligheidsrisico in hun organisatie doordat de SolarWinds-software gecompromitteerd is.
Deze waarschuwing moet het risico duidelijk maken en de systeembeheerders de nodige instrumenten en richtlijnen geven om een potentieel veiligheidsrisico op te sporen en te verkleinen.
Het gaat om een lopend incident, en mettertijd kan er meer informatie beschikbaar worden. We dringen er dus bij de beheerders op aan om deze waarschuwing op te volgen.
Samenvatting
Het Amerikaanse softwarebedrijf SolarWinds is recentelijk het slachtoffer geworden van een beveiligingslek, die ertoe heeft geleid dat het bedrijf Trojaanse versies van zijn Orion-software heeft verstuurd. In een update van de Orion-software was een stuk malware verstopt zoals bij een Trojaans paard. Deze Trojaanse versie lag aan de basis van beveiligingsinbreuken bij verschillende hoogwaardige doelwitten, waardoor ook de beveiligingsinbreuk bij SolarWinds werd ontdekt. Dit soort aanvallen wordt een supply-chain-aanval genoemd en kan ernstige gevolgen hebben.
De inbreuk op de supply chain bij SolarWinds is misschien al in het voorjaar van 2020 begonnen, maar werd pas op 13 december ontdekt, na de melding van een inbreuk bij het Amerikaanse Ministerie van Financiën en het Amerikaanse Ministerie van Handel. Uit analyse blijkt dat verschillende versies van de Orion-software kwaadaardig waren, waaronder versies die tussen maart en mei werden uitgebracht.
Reuters1 geeft een algemeen overzicht van deze lek, terwijl FireEye2 een meer diepgaand technisch overzicht geeft.
Technische details
Doordat SolarWinds gecompromitteerd werd, hebben potentieel duizenden klanten Trojaanse versies van hun Orion-software geïnstalleerd. Deze malwareversie is digitaal ondertekend met het officiële certificaat van SolarWinds, en wijst dus geenszins op kwaadwillige acties. Na twee weken sluimeren wordt de "SunBurst"-achterdeur - ook bekend als "Solorigate" - actief, en geeft de aanvallers de volledige controle over het systeem. De malware maskeert zijn eigen verkeer als het Orion Improvement Program-protocol en gebruikt legitieme plugins om verkenningsgegevens op te slaan, waardoor het gedrag ervan moeilijk te detecteren is.
Wanneer de malware eerst probeert een verbinding met de aanvaller tot stand te brengen, doet hij dat door het DNS record op te vragen van avsvmcloud[.]com, dat zijn Command and Control (C2)-informatie via het CNAME-record geeft. De communicatie met de C2 is zo ontworpen dat ze lijkt op de API-communicatie van SolarWinds, waardoor deze nog meer in de achtergrond opgaat.
Risico's
Het uitvoeren van een gecompromitteerde versie van SolarWinds Orion kan de aanvallers volledige toegang geven tot het apparaat en de informatie die erop is opgeslagen. Het maakt het ook mogelijk om toegangsgegevens van geprivilegieerde gebruikers te verzamelen en kan dienen als een jump-point in uw netwerk om andere apparaten aan te vallen. Als de kwaadaardige software erin slaagt om SAML-handtekeningcertificaten te verkrijgen, kan hij mogelijk SAML-tokens maken voor zelfs de hoogst geprivilegieerde accounts in de Azure Active Directory.
Getroffen leveranciers en workarounds
De getroffen software in kwestie is Orion van SolarWinds. Door de vele onbekende factoren is nog niet bekend welke versies wel en welke niet kwaadaardig zijn. SolarWinds heeft mitigatie- en versterkingsinstructies gepubliceerd op zijn website3.
De technische blog van beveiligingsleverancier FireEye2 beschrijft verschillende Indicators of Compromise (IOC) die van nut kunnen zijn. De cyberbeveiligingsgemeenschap heeft ook samengewerkt om een reeks tegenmaatregelen en manieren om kwaadaardige gevallen te detecteren te produceren en deze gedocumenteerd in de FireEye Mandiant SunBurst Countermeasures Github repository4.
Aangezien het om een lopend incident gaat, raden wij de systeembeheerders die de Orion-software van SolarWinds gebruiken ten zeerste aan om dit op de voet te volgen.
Sources
[1] https://www.reuters.com/article/us-usa-cyber-amazon-com-exclsuive/exclus...
[2] https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-le...
[3] https://www.solarwinds.com/securityadvisory
[4] https://github.com/fireeye/sunburst_countermeasures
Extra Sources
https://us-cert.cisa.gov/ncas/alerts/aa20-352a
https://blogs.microsoft.com/on-the-issues/2020/12/13/customers-protect-n...