Bijgewerkt: December 15 - 2020, 16:10 CET
SolarWinds heeft een security melding gemaakt over hun product Orion.
Wat is er aan de hand?
SolarWinds heeft last gehad van een 'manual supply chain attack'. Dit houdt in dat iemand in staat is geweest om bij SolarWinds in de programmatuur van SolarWinds Orion een 'backdoor' in te bouwen. Deze backdoor zou zitten in de SolarWinds.Orion.Core.BusinessLayer.dll
Via deze backdoor zijn hackers heel gericht in staat om de SolarWinds server malware te laten installeren via het software update mechanisme. Hackers zouden volgens de berichtgeving voor hun aanval een handmatige actie moeten uitvoeren. Niet iedereen wordt dus per definitie geïnfecteerd. Het lijkt er op dat de hackers heel direct bepaalde organisaties proberen aan te vallen. De geïnfecteerde DLL zou contact maken met het domein avsvmcloud.com om de malware te installeren.
Dit probleem doet zich voor in de volgende Orion Platform versies:
- 2019.4 HF 5
- 2020.2 zonder HotFix (HF)
- 2020.2 HF 1
Dit beïnvloedt dus ALLE Orion modules.
Wat kunt u doen?
Indien u een van de bovenstaande software versies momenteel in gebruik heeft, bevat uw systeem nu de 'backdoor'. Omdat deze aanval zeer gericht lijkt te zijn, is de kans dat u geïnfecteerd bent met malware klein. Daarnaast heeft de Orion server voor malware installatie een internet verbinding nodig.
Om dit probleem (de backdoor) zo snel mogelijk op te lossen, kunt u vandaag een upgrade doen naar een Orion Platform versie waar dit probleem niet in zit:
Voor versie 2019.4 HF5: upgrade naar 2019.4 HF 6 (of natuurlijk 2020.2.1 HF1)
Voor versie 2020.2 (geen HF) of 2020.2 HF 1: upgrade naar 2020.2.1 HF 1
Deze versies zijn via de SolarWinds customer portal vandaag te downloaden:
https://www.solarwinds.com - selecteer customer portal bovenin de pagina, ga naar uw downloads and download the hotfix installer.
Echter, het lijkt er op dat deze versie het gat niet helemaal dicht. SolarWinds heeft beloofd Orion Platform version 2020.2.1 HF 2 op 15 december uit te brengen, waarin het volledig is opgelost en additionele beveiligingsverbeteringen zijn toegepast. Toch adviseert SolarWinds om de genoemde versies direct te installeren.
Hoe weet u of uw systeem geïnfecteerd is?
Natuurlijk wilt u ook weten of u geïnfecteerd bent. Hiervoor hebben wij de volgende, eenvoudige oplossingen gevonden:
1. Microsoft heeft voor Windows Defender een patch uitgebracht die de malware die via de backdoor kan worden geïnstalleerd herkent. Start hiervoor Windows Defender, zorg voor een update van de definitie files en doe een 'full scan' van uw SolarWinds Orion server(s). Microsoft noemt deze malware 'Solorigate'.
2. De security firma FireEye noemt de malware 'SunBurst' en wijst op een 'signature' die zij gratis via Github beschikbaar stellen waarmee de malware kan worden gedetecteerd: https://github.com/fireeye/sunburst_countermeasures
Deze signature zou o.a. werken met de volgende open source tools:
- Snort (https://www.snort.org)
- Yara (https://virustotal.github.io/yara/)
- ClamAV (https://www.clamav.net)
Als u meer dan een Orion systeem heeft (bijvoorbeeld omdat u additionele pollers op aparte servers gebruikt), is het verstandig om alle servers te controleren.
Heeft u onze hulp nodig? Natuurlijk zijn wij voor u bereikbaar:
