Múltiples vulnerabilidades en Solarwinds Orion Platform (28/diciembre/2020)﷯ La plataforma SOLARWINDS ORION es un paquete de software de administración de redes empresariales que incluye monitoreo de rendimiento y aplicaciones, y administración de configuración de red junto con varios tipos de herramientas de análisis ampliamente utilizada en los sectores público y privado. Múltiples vulnerabilidades en SolarWinds Orion Platform han sido reportadas desde Cybersecurity and Infrastructure Security Agency – CISA de Estados Unidos y desde varios CSIRT nacionales e internacionales. Una de las vulnerabilidades identificadas, consiste en un malware que se ha dado a conocer como SUNBURST o SOLORIGATE que se distribuye a manera de un troyano, los atacantes firmaron el software haciendo referencia a los certificados de Solarwinds para que la actualización que realiza el usuario del paquete de software Orion lo considere como válido, el malware se inyectó dentro de las actualizaciones de la aplicación SolarWinds Orion lanzadas entre marzo y junio de 2020. Las actualizaciones troyanizadas colocaron el malware en lo profundo de las redes internas de muchas empresas, organizaciones e instituciones que dependían de la aplicación Orion para monitorear y mantener los inventarios de los sistemas de TI internos. El reporte lo realiza a inicios de diciembre la empresa FireEye y posteriormente Microsoft quien identifica el dominio bajo el que se fundamenta todo el ataque avsvmcloud[.]com. Según informes de análisis profundo publicados por Microsoft, FireEye, McAfee, Symantec, Kaspersky, CISA, en los sistemas infectados, el malware recopilaría información sobre la red de la víctima, posteriormente transcurridos entre 12 y 14 días envía los datos del dominio infectado de manera codificada a un servidor de comando y control remoto (C&C) en el dominio avsvmcloud.com para luego ser utilizados por los atacantes. Las versiones que se han identificado hasta el 23 de diciembre del 2020 son: 1. Orion Platform 2019.4 HF5, versión 2019.4.5200.9083 2. Orion Platform 2020.2 RC1, versión 2020.2.100.12219 3. Orion Platform 2020.2 RC2, versión 2020.2.5200.12394 4. Plataforma Orion 2020.2, 2020.2 HF1, versión 2020.2.5300.12432 El EcuCERT en consideración al alto riesgo a la confidencialidad, integridad y disponibilidad de la información de los sistemas de información, en los cuales se encuentran instaladas las versiones vulnerables de SolarWinds, recomienda a su comunidad objetivo lo siguiente: 1. Identificar y eliminar el malware SUNBURST. 2. Revisar los registros para identificar que sistemas internos aumentaron el acceso los atacantes y que datos fueron robados de sus redes. 3. Ejecutar los parches de actualización provistos por SolarWinds. 4. Revisar las contramedidas que han sido publicadas y compiladas por CISA disponibles en https://us-cert.cisa.gov/ncas/current-activity/2020/12/13/active-exploitation-solarwinds-software. 5. Ejecutar aplicaciones en modo de usuarios sin privilegios, de tal manera que se convierta en una segunda capa de defensa a una primera instancia de intrusión. 6. Notificar a usuarios internos acerca de los riesgos de activar enlaces. Referencias Solarwinds (2020). Notas tecnicas SolarWinds N-Central. Recuperado el 28-12-2020 de https://documentation.solarwindsmsp.com/N-central/Rel_2020-1-2_HF2/N-central_2020-1-2_HF2_ReleaseNotes_en.pdf CVE (2020). Vulnerabilidad en solarwinds. Recuperado el 28-12-2020 de https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25617 CVE (2020). Vulnerabilidad en solarwinds. Recuperado el 28-12-2020 de https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25618. CVE (2020). Vulnerabilidad en solarwinds. Recuperado el 28-12-2020 de https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25620. CVE (2020). Vulnerabilidad en solarwinds. Recuperado el 28-12-2020 de https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25621. CVE (2020). Vulnerabilidad en solarwinds. Recuperado el 28-12-2020 de https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25622. CISA Alert (AA20-352A), Actualizado 23-dic-2020, Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations. Recuperado el 28-12-2020 de https://us-cert.cisa.gov/ncas/alerts/aa20-352a. Microsoft (2020). Analyzing solorigate the compromised dll file that started a sophisticated cyberattack and how Microsoft defender helps protect. Recuperado el 28-12-2020 de https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-Microsoft-defender-helps-protect.
Dirección - Av. Amazonas N 40-71 y Gaspar de Villarroel Quito, Ecuador Teléfono - (+593) 22 272-179
EcuCERT
ecucert Centro de respuesta a incidentes informáticos del Ecuador
Llaves PGP/GPG
(+593) 22 272-179
Envíanos un Correo
Horario de atención: Lunes a Viernes 8:15 - 17:00

Copyright © 2017 EcuCERT