Campaña de explotación activa contra SolarWinds Orion Platform
[Actualización 15/12/2020]: SolarWinds Orion Platform, versiones 2019.4 HF 5, 2020.2 sin hotfix y 2020.2 HF 1, en los siguientes productos:
- Application Centric Monitor (ACM),
- Database Performance Analyzer Integration Module (DPAIM),
- Enterprise Operations Console (EOC),
- High Availability (HA),
- IP Address Manager (IPAM),
- Log Analyzer (LA),
- Network Automation Manager (NAM),
- Network Configuration Manager (NCM),
- Network Operations Manager (NOM),
- Network Performance Monitor (NPM),
- NetFlow Traffic Analyzer (NTA),
- Server & Application Monitor (SAM),
- Server Configuration Monitor (SCM),
- Storage Resource Monitor (SCM),
- User Device Tracker (UDT),
- Virtualization Manager (VMAN),
- VoIP & Network Quality Manager (VNQM),
- Web Performance Monitor (WPM).
[Actualización 16/12/2020]: FireEye ha descubierto una campaña de intrusión global. Se recomienda actualizar SolarWinds Orion Platform a las versiones 2019.4 HF 6 o 2020.2.1 HF 2, a la mayor brevedad, ya que esta vulnerabilidad podría ser explotada de manera activa.
[Actualización 16/12/2020]:
En los productos listados anteriormente:
- Para Orion Platform v2020.2 sin hotfix y 2020.2 HF 1, actualizar a la versión 2020.2.1 HF 2. Esta versión reemplaza el componente comprometido y proporciona varias mejoras de seguridad adicionales.
- Para Orion Platform v2019.4 HF 5, actualizar a la versión 2019.4 HF 6.
Se recomienda actualizar SolarWinds Orion Platform a estas versiones a la mayor brevedad, ya que esta vulnerabilidad podría ser explotada de manera activa. Si no puede actualizarse inmediatamente, por favor siga las pautas disponibles aquí para asegurar su instancia de SolarWinds Orion Platform.
Si no está seguro de qué versión de Orion Platform está usando, consulte las instrucciones para comprobarlo aquí. Para comprobar qué hotfixes ha aplicado, consúltelo aquí.
FireEye ha descubierto un ataque a la cadena de suministro que ha troyanizado las actualizaciones del software empresarial SolarWinds Orion para distribuir un malware tipo backdoor denominado SUNBURST. La campaña, cuyos actores responsables son conocidos como UNC2452, está muy extendida y afecta a organizaciones públicas y privadas de todo el mundo.
El malware enmascara su tráfico de red como el protocolo OIP (Orion Improvement Program) y almacena los resultados del reconocimiento en archivos de configuración de plugins legítimos, lo que le permite ocultarse entre la actividad legítima de SolarWinds. El backdoor utiliza múltiples listas de bloqueo ofuscadas para identificar las herramientas forenses y antivirus que se ejecutan como procesos, servicios y controladores.
La actividad posterior a este compromiso de la cadena de suministro ha incluido movimiento lateral y robo de datos. FireEye está publicando firmas para detectar esta amenaza.
[Actualización 21/12/2020] CISA ha actualizado la alerta AA20-352A. En esta actualización se afirma que el CISA tiene pruebas de, y actualmente está investigando, vectores de acceso inicial además de los atribuidos al compromiso de la cadena de suministro de SolarWinds Orion. Esta actualización también proporciona nuevas directrices de mitigación y revisa la tabla de indicadores de compromiso (IOCs); también incluye un archivo STIX descargable de los IOCs.