Cabecera-v2-web.jpg

Campaña de ciberataques a la plataforma Orion de SolarWinds



17/12/2020

SolarWinds ha emitido un aviso de seguridad sobre un ciberataque dirigido a la plataforma SolarWinds Orion en sus versiones 2019.4 H 5, 2020.2 sin parches instalados y 2020.2 HF 1, que, si está presente y activado, podría permitir que un atacante ponga en peligro el servidor en el que se ejecutan los productos Orion. El incidente probablemente fue el resultado de un ataque manual, dirigido y altamente sofisticado a la cadena de suministro.

Además, informaron que los softwares afectados ya no están disponibles para su descarga.

Productos afectados:

Pltaforma Orion versiones 2019.4 HF 5, 2020.2 sin parches instalados, o con 2020.2 HF 1, ique incluyen:

  • Application Centric Monitor (ACM)
  • Database Performance Analyzer Integration Module* (DPAIM*)
  • Enterprise Operations Console (EOC)
  • High Availability (HA)
  • IP Address Manager (IPAM)
  • Log Analyzer (LA)
  • Network Automation Manager (NAM)
  • Network Configuration Manager (NCM)
  • Network Operations Manager (NOM)
  • Network Performance Monitor (NPM)
  • NetFlow Traffic Analyzer (NTA)
  • Server & Application Monitor (SAM)
  • Server Configuration Monitor (SCM)
  • Storage Resource Monitor (SRM)
  • User Device Tracker (UDT)
  • Virtualization Manager (VMAN)
  • VoIP & Network Quality Manager (VNQM)
  • Web Performance Monitor (WPM)

Según los investigadores, los actores responsables de esta campaña conocida como UNC2452, obtuvieron acceso a numerosas organizaciones públicas y privadas de todo el mundo mediante el despliegue de actualizaciones del software de monitorización y gestión Orion de SolarWinds, a las que se añadió código dañino o malware denominado SUNBURST (también conocido como Solorigate), para el compromiso de los sistemas.

Los parches ya disponibles reemplazan los componentes comprometidos y proporcionan varias mejoras de seguridad adicionales.


¿Cómo funciona?

SolarWinds.Orion.Core.BusinessLayer.dll es un componente firmado digitalmente de SolarWinds del marco de software de Orión que contiene una puerta trasera que se comunica a través de HTTP a servidores de terceros.

Después de las actualizaciones y en un período de inactividad inicial de hasta dos semanas, recupera y ejecuta comandos, llamados "Trabajos", que incluyen la capacidad de transferir archivos, ejecutar archivos, perfilar el sistema, reiniciar la máquina y deshabilitar los servicios del sistema.

El malware disfraza su tráfico de red como el protocolo del programa de mejora de Orion (OIP) y almacena los resultados del reconocimiento en archivos de configuración de complementos legítimos, lo que le permite integrarse con la actividad legítima de SolarWinds.

La puerta trasera utiliza múltiples listas de bloqueo ofuscadas para identificar herramientas forenses y antivirus que se ejecutan como procesos, servicios y controladores. Además, el robo también incluye cargas útiles de explotación que aprovechan vulnerabilidades críticas en Pulse Secure SSL VPN (CVE-2019-11510), Microsoft Active Directory (CVE-2020-1472), Zoho ManageEngine Desktop Central (CVE-2020-10189) y Windows. Servicios de escritorio remoto (CVE-2019-0708).


Recomendaciones

  • Actualice a la versión 2020.2.1 HF 2 de la plataforma Orion, si es afectado por algunos de los productos con la plataforma Orion v2020.2 sin parches o 2020.2 HF 1, disponibles en el siguiente enlace.
  • Actualice a la versión 2019.4 HF 6 de la plataforma Orion, si es afectado por algunos de los productos con la plataforma Orion v2019.4 HF 5, disponible en el siguiente enlace.
  • Si no está seguro de qué versión de la plataforma Orion está utilizando, consulte las instrucciones sobre cómo verificarlo aquí. Para comprobar qué revisiones ha aplicado, vaya aquí.
  • Aisle o desconecte los servidores de SolarWinds hasta determinar que no contienen código dañino.
  • Considere cambiar las contraseñas de las cuentas que tienen acceso a los servidores/infraestructura de SolarWinds.
  • Instale un software antivirus para detectar el códigos dañinos en instalaciones de Orion Solarwinds comprometidas.
  • Revise las configuraciones de los dispositivos por si hubiera modificaciones inesperadas/no autorizadas.
  • Si es un usuario afectado, revise el sitio oficial, ya que la investigación aún esta en curso y podrían realizar actualizaciones.

Referencias


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11