TLP: VALGE — 13. detsembril 2020 teatas infotehnoloogialahenduste ettevõte SolarWinds, et Venemaa rahvusriigi ohus osalejad on neid rikkunud. Rikkumist kasutati mitme USA föderaalameti vastu suunatud edasiste rünnakute võimendamiseks. SolarWinds avaldas avalduse, et nende süsteemid kogesid väga keerukat käsitsi tarneahela rünnakut SolarWinds® Orion® platvormi tarkvaraversioonidele versioonide 2019.4 HF 5 kuni 2020.2.1 jaoks, mis avaldati 2020. aasta märtsist 2020. aasta juunini. USA küberturvalisuse ja infrastruktuuri turbeagentuur ( CISA) vabastati Emergency direktiiv 21-01, märkides et potentsiaalne kasutamine kujutab endast lubamatut ohtu ja mõjutatud asutused peavad viivitamatult oma võrgust lahti ühendama või välja lülitama SolarWinds Orioni tooted versioonid 2019.4 kuni 2020.2.1 HF1.
SolarWindsi kasutab rohkem kui 300,000 XNUMX organisatsiooni üle maailma. Sealhulgas kõik viis USA sõjaväe haru, Pentagon, välisministeerium, justiitsministeerium, NASA, presidendi täitevbüroo ja Riiklik Julgeolekuagentuur, mis on ettevõtte veebisaidi andmetel maailma suurim elektrooniline spiooniagentuur.
Health-ISACi ohuoperatsioonide keskus (TOC) jätkab selle juhtumi kohta teabe kogumist, kui see muutub kättesaadavaks. Julgustame Health-ISACi liikmeid jätkama WeeSecretsis ja AMBERi meililistis jagamist või võtma ühendust otse TOC-ga. TOC edastab värskendusi, kui rohkem teavet saadakse.
Analüüs:
SolarWinds avaldas avalduse, et nende süsteemid kogesid väga keerukat käsitsi tarneahela rünnakut SolarWinds® Orion® platvormi tarkvaraversioonidele versioonidele 2019.4 HF 5 kuni 2020.2.1, mis avaldati 2020. aasta märtsist 2020. aasta juunini. Meile on teatatud, et see rünnak oli Tõenäoliselt viis läbi väline rahvusriik ja see on mõeldud kitsaks, äärmiselt sihipäraseks ja käsitsi täidetavaks rünnak, mitte laiaulatuslik, kogu süsteemi hõlmav rünnak.
SolarWinds.Orion.Core.BusinessLayer.dll on SolarWindsi digitaalselt allkirjastatud fail Orioni tarkvararaamistiku komponent, mis sisaldab tagaust, mis suhtleb HTTP kaudu kolmandate osapoolte serveritega. Jälgime selle SolarWindsi Orioni pistikprogrammi troojastatud versiooni kui SUNBURST.
Pärast esialgset kuni kahenädalast puhkeperioodi otsib ja täidab see käske, mida nimetatakse "Töödeks", mis hõlmavad failide edastamise, failide käivitamise, süsteemi profiilide loomise, masina taaskäivitamise ja süsteemiteenuste keelamise. Pahavara maskeerib oma võrguliikluse Orion Improvement Program (OIP) protokolliks ja salvestab uurimistulemused seaduslikesse pistikprogrammide konfiguratsioonifailidesse, võimaldades sellel sulanduda seadusliku SolarWindsi tegevusega. Tagauks kasutab protsesside, teenuste ja draiveritena töötavate kohtuekspertiisi ja viirusetõrjetööriistade tuvastamiseks mitut segatud blokeerimisloendit.
Märtsist maini 2020 allkirjastati digitaalselt mitu troojastatud värskendust ja postitati SolarWindsi värskenduste veebisaidile, sealhulgas:
- – hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp
Troojastatud värskendusfail on standardne Windows Installeri paigafail, mis sisaldab värskendusega seotud tihendatud ressursse, sealhulgas Troojastatud SolarWindsi.Orion.Core.BusinessLayer.dll komponent. Kui värskendus on installitud, laadib pahatahtliku DLL-i seaduslik SolarWinds.BusinessLayerHost.exe või SolarWinds.BusinessLayerHostx64.exe (olenevalt süsteemi konfiguratsioonist). Pärast kuni kahenädalast puhkeperioodi püüab pahavara lahendada avsvmcloud[.]com alamdomeeni. DNS-i vastus tagastab CNAME-kirje, mis osutab Command and Control (C2) domeenile. C2-liiklus pahatahtlikele domeenidele on loodud jäljendama tavalist SolarWindsi API-suhtlust. Tuntud pahatahtliku infrastruktuuri loend on saadaval FireEye's GitHubi leht.
Kompromissi näitajad:
Hetkel teada Kompromissi näitajad (IOC) on lisatud Health-ISACi automatiseeritud jagamisplatvormi nende liikmete jaoks, kes kasutavad automatiseeritud ohunäitajaid. Health-ISACi ohuoperatsioonide keskus jätkab intsidendi jälgimist, koondades ja neelades samal ajal kättesaadavaks tehtud ROK-e.
|
|
| DHS, jugapuu, SolarWinds, Microsoft, SolarWinds, FireEye, FireEye, FireEye, jugapuu, The Washington Post, GitHub |
|
Soovitused
| Soovitame teha järgmised sammud seoses platvormi SolarWinds Orion kasutamisega.
- – Oma keskkonna turvalisuse tagamiseks minge esimesel võimalusel üle Orion Platformi versioonile 2020.2.1 HF 1. Uusim versioon on saadaval SolarWindsi kliendiportaalis.
- – Kui te pole kindel, millist Orioni platvormi versiooni te kasutate, vaadake juhiseid selle kontrollimiseks siin. Rakendatud kiirparanduste kontrollimiseks minge siin.
- – Kui te ei saa kohe uuendada, järgige saadaolevaid juhiseid siin Orion Platformi eksemplari turvamiseks. Peamised leevendusetapid hõlmavad Orioni platvormi paigaldamist tulemüüride taha, Orioni platvormi Interneti-juurdepääsu keelamist ning portide ja ühenduste piiramist ainult vajalikuga.
- – Täiendav kiirparanduse väljalase 2020.2.1 HF 2 tehakse eeldatavasti kättesaadavaks teisipäeval, 15. detsembril 2020. Soovitame kõigil klientidel värskendada versiooni 2020.2.1 HF 2, kui see on saadaval, kuna 2020.2.1 HF 2 väljalase mõlemad asendavad ohustatud komponendi ja pakuvad mitmeid täiendavaid turvatäiustusi
Health-ISAC soovitab navigeerida ka FireEye vastumeetmete ja reeglite juurde on vabastanud, mis sisaldab hulga allkirju ja muid vastumeetmeid, mida kliendid saavad tööriistade kasutamise korral kasutada rünnakute tuvastamiseks ja tõrjumiseks. Mõned vastumeetmed läbi vaadanud teadlased ütlesid, et need näitasid, et tööriistad ei ole oma olemuselt tundlikud.
Kui te ei suuda SolarWindsi soovitusi järgida, on järgmised kohesed leevendustehnikad, mida võiks esimeste sammudena kasutusele võtta, et kõrvaldada keskkonnas Troojastatud SolarWindsi tarkvara oht. Kui keskkonnas avastatakse ründaja tegevus, soovitame läbi viia põhjaliku uurimise ning kavandada ja rakendada parandusstrateegia, mis põhineb uurimistulemustel ja mõjutatud keskkonna üksikasjadel.
- – Veenduge, et SolarWindsi serverid oleksid isoleeritud / suletud kuni täiendava ülevaatuse ja uurimiseni. See peaks hõlmama kogu Interneti-väljapääsu blokeerimist SolarWindsi serveritest.
- – Kui SolarWindsi infrastruktuur ei ole isoleeritud, kaaluge järgmiste sammude tegemist.
- – Piirake ühenduvuse ulatust SolarWindsi serverite lõpp-punktidega, eriti nendega, mida peetakse 0. taseme / kroonijuveeli varadeks
- – Piirake nende kontode ulatust, millel on SolarWindsi serverites kohaliku administraatori õigused.
- - Blokeerige SolarWindsi tarkvaraga Interneti-väljapääs serveritest või muudest lõpp-punktidest.
- – Kaaluge (vähemalt) paroolide muutmist kontodel, millel on juurdepääs SolarWindsi serveritele / infrastruktuurile. Täiendava läbivaatamise/uurimise põhjal võib olla vaja täiendavaid parandusmeetmeid.
- – Kui SolarWindsi kasutatakse võrguinfrastruktuuri haldamiseks, kaaluge võrguseadmete konfiguratsioonide ülevaatamist ootamatute/volitamata muudatuste suhtes. Pange tähele, et see on SolarWindsi funktsioonide ulatuse tõttu ennetav meede, mis ei põhine uurimistulemustel.
|
|
Allikad
Manustatud PowerPointi esitlus on ette nähtud ka abistamiseks kõrgel tasemel teateid selle sündmusega seotud võtmepunktidest teie enda organisatsioonis. Health-ISAC-i liikmeid julgustatakse kasutama PowerPointi faili, panema see vajadusel oma mallidesse ja jagama värskendusi (teie valikul) TOC-iga, et saaksime teha täiendavaid parandusi.
SolarWIndsi intsident ppt
