17/12/2020
SolarWinds ha emitido un aviso de seguridad sobre un ciberataque dirigido a la plataforma SolarWinds Orion en sus versiones 2019.4 H 5, 2020.2 sin parches instalados y 2020.2 HF 1, que, si está presente y activado, podría permitir que un atacante ponga en peligro el servidor en el que se ejecutan los productos Orion. El incidente probablemente fue el resultado de un ataque manual, dirigido y altamente sofisticado a la cadena de suministro.
Además, informaron que los softwares afectados ya no están disponibles para su descarga.
Productos afectados:
Pltaforma Orion versiones 2019.4 HF 5, 2020.2 sin parches instalados, o con 2020.2 HF 1, ique incluyen:
Según los investigadores, los actores responsables de esta campaña conocida como UNC2452, obtuvieron acceso a numerosas organizaciones públicas y privadas de todo el mundo mediante el despliegue de actualizaciones del software de monitorización y gestión Orion de SolarWinds, a las que se añadió código dañino o malware denominado SUNBURST (también conocido como Solorigate), para el compromiso de los sistemas.
Los parches ya disponibles reemplazan los componentes comprometidos y proporcionan varias mejoras de seguridad adicionales.
¿Cómo funciona?
SolarWinds.Orion.Core.BusinessLayer.dll es un componente firmado digitalmente de SolarWinds del marco de software de Orión que contiene una puerta trasera que se comunica a través de HTTP a servidores de terceros.
Después de las actualizaciones y en un período de inactividad inicial de hasta dos semanas, recupera y ejecuta comandos, llamados "Trabajos", que incluyen la capacidad de transferir archivos, ejecutar archivos, perfilar el sistema, reiniciar la máquina y deshabilitar los servicios del sistema.
El malware disfraza su tráfico de red como el protocolo del programa de mejora de Orion (OIP) y almacena los resultados del reconocimiento en archivos de configuración de complementos legítimos, lo que le permite integrarse con la actividad legítima de SolarWinds.
La puerta trasera utiliza múltiples listas de bloqueo ofuscadas para identificar herramientas forenses y antivirus que se ejecutan como procesos, servicios y controladores. Además, el robo también incluye cargas útiles de explotación que aprovechan vulnerabilidades críticas en Pulse Secure SSL VPN (CVE-2019-11510), Microsoft Active Directory (CVE-2020-1472), Zoho ManageEngine Desktop Central (CVE-2020-10189) y Windows. Servicios de escritorio remoto (CVE-2019-0708).
Recomendaciones
Referencias