Software-updates SolarWinds door aanvallers voorzien van backdoor

Door officiële software-updates van de it-beheersoftware SolarWinds te voorzien van een backdoor, zijn aanvallers erin geslaagd om bedrijven en overheden over de hele wereld aan te vallen, zo hebben Microsoft, SolarWinds, FireEye en CISA bekendgemaakt. Op deze manier wisten de aanvallers ook bij FireEye binnen te dringen.

Backdoor

SolarWinds biedt het Orion Platform aan, dat bestaat uit allerlei producten voor het beheren van it-omgevingen. Hackers wisten toegang te krijgen tot systemen van SolarWinds en zo legitieme updates van het Orion Platform te voorzien van een backdoor. Er werden tussen maart en juni 2020 meerdere digitaal gesigneerde getrojaniseerde updates geplaatst op de website van SolarWinds die gedownload konden worden via de updatefunctie van de software, zo meldt FireEye. Het Orion Platform beschikt naast het handmatig installeren van updates ook over een automatische updatefunctie. In de versies 2019.4 HF 5 tot en met 2020.2.1 was de backdoor aanwezig.

Het is nog onbekend hoe de aanvallers toegang wisten te krijgen tot de systemen van SolarWinds. Toen de backdoor eenmaal actief was op het systeem, maakte hij verbinding met een domein om aanvullende malware te kunnen downloaden, de organisatie verder te kunnen infecteren en data te kunnen stelen.

Wereldwijd slachtoffers

FireEye heeft gemeld dat de backdoor bij meerdere organisaties wereldwijd is aangetroffen. In verschillende sectoren zijn slachtoffers, zoals: consultancy, telecom en technologie, overheid, in Europa, Noord-Amerika, het Midden-Oosten en Azië. De namen van de getroffen organisaties zijn onbekend. Bronnen hebben aan Reuters laten weten dat de Amerikaanse ministeries van Handel en Financiën slachtoffer zijn en dat aanvallers toegang hadden tot het e-mailverkeer.

SolarWinds heeft klanten geadviseerd om zo spoedig mogelijk naar Orion Platform versie 2020.2.1 HF 1 te updaten, die te vinden is via het SolarWinds Customer Portal. Ook is er een aanvullende hotfix, 2020.2.1 HF 2 verschenen. Deze verwijdert het gecompromitteerde onderdeel en voegt aanvullende beveiligingsmaatregelen toe. Voor Snort, Yara en ClamAV heeft FireEye rules gepubliceerd om malware van hackers te detecteren.

CISA (het Cybersecurity and Infrastructure Security Agency) van het Amerikaanse ministerie van Homeland Security heeft een ‘Emergency Directive’ afgegeven. Hierdoor zijn federale overheidsinstanties verplicht om de systemen met kwetsbare versies van het Orion Platform los te koppelen van het netwerk of uit te schakelen. Ook moeten ze maatregelen nemen die meteen worden doorgevoerd.

Bron: Security.nl