TRUSSELVURDERING (TLP HVIT)

Kompromittering av i SolarWinds Orion programvare

17-12-2020

JustisCERT ønsker å varsle om at kildekoden til SolarWinds Orion siden tidlig 2020 har vært kontrollert av en ekstern aktør, trolig russiske ATP29. Det betyr at de som har lastet ned offisielle versjoner av programvaren Orion fra SolarWinds også har fått med den uønskede koden til angriper. Koden har gitt angriper mulighet til å kontrollere servere der SolarWinds Orion er installert. Dette er svært alvorlig da angriper kan benytte denne bakdøren til å ta over/forflytte seg videre til andre ressurser i virksomhetens nett, overvåke trafikken internt i virksomheten, stjele data/brukernavn/passord med mer.

Av selskapene som offentlig har sagt at de er kompromittert finner vi blant annet FireEye og US Treasury and commerce department. Hvor mange selskap som er blitt kontrollert/tappet for informasjon er ikke kjent, men rundt 18000 av SolarWinds kunder skal ha benyttet den kompromitterte programvaren. Blant SolarWinds kunder finner vi alt fra skoler, flyselskap, sikkerhetsmyndigheter til laboratorier for atomkraft.

For flere detaljer om sårbarhetene se [1] [2] [3].


Berørte produkter er blant annet:
•    SolarWinds Orion 2020.2.1 og eldre
•    SolarWinds Orion 2019.4 HF 5 og eldre


Anbefalinger:
•    Kontakt JustisCERT om SolarWinds Orion benyttes
•    Se rådene fra TrustedSec [3]

•    Fjern internett-tilgangen for servere med SolarWinds Orion
•    Sett opp servere med SolarWinds Orion helt på nytt (en patch/oppdatering vil ikke sikre at angriper ikke lenger har kontroll over serveren)
•    Overvåk nettet for uønsket trafikk/tegn på at angriper er i nettet


Kilder:

[1] https://solarwinds.com/securityadvisory

[2] https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

[3] https://www.trustedsec.com/blog/solarwinds-orion-and-unc2452-summary-and-recommendations/