18.000 organizaciones posiblemente comprometidas en …



Los atacantes estatales utilizaron actualizaciones de software de administración de pink de SolarWinds envenenadas para distribuir malware El gobierno de los Estados Unidos ordena a las agencias civiles federales que apaguen inmediatamente la tecnología.

En lo que podría resultar ser uno de los ataques a la cadena de suministro más importantes de los últimos años, un grupo probablemente respaldado por un estado nacional comprometió los sistemas de SolarWinds e insertó malware en las actualizaciones de los productos de administración de red Orion, ampliamente utilizados por la compañía, que se lanzaron entre Marzo y junio de 2020.

En full, alrededor de 33,000 de los 300,000 clientes de SolarWinds, que incluyen numerosas agencias gubernamentales, 499 de las compañías Fortune 500 y más de 22,000 proveedores de servicios administrados, podrían haber recibido las actualizaciones de application comprometidas. Unas 18.000 organizaciones en todo el mundo pueden haber instalado el software program envenenado en sus sistemas, dijo SolarWinds en un Presentación de la SEC Lunes.

La presentación sugirió que los atacantes podrían haber ingresado inicialmente a los sistemas de SolarWinds al comprometer los correos electrónicos de la compañía y usarlos para acceder a otros datos en su entorno de Microsoft Business 365.

Se cree que las víctimas de la violación masiva incluyen al Departamento del Tesoro de los Estados Unidos, la Administración Nacional de Infraestructura y Telecomunicaciones y el proveedor de seguridad FireEye, que la semana pasada reveló una violación que involucra el robo de las herramientas del equipo rojo de la compañía.

En una medida de la preocupación generalizada que ha avivado la violación, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) emitió una directiva de emergencia el domingo instando a todas las agencias civiles federales que usan los productos Orion de SolarWinds a apagar o desconectar la tecnología de inmediato. los Directiva de emergencia, solo el quinto desde 2015, describió el compromiso de SolarWinds como un riesgo inaceptable para la seguridad de las redes federales. Ordenó a todas las agencias civiles federales que presentaran un informe a CISA a más tardar a las 12:00 p.m. Jap Regular Time el lunes que muestra que habían apagado la tecnología SolarWinds Orion en sus redes.

en un aviso de seguridadSolarWinds dijo que las compilaciones de software para las versiones 2019.4 HF 5 hasta 2020.1.1 de sus plataformas Orion lanzadas entre marzo y junio de este año se vieron afectadas por la violación. La compañía pidió a sus clientes que actualizaran inmediatamente a la versión 2020.2.1 HF 1 de Orion Platform siempre que fuera posible. Es probable que se publique una revisión adicional el 15 de diciembre de 2020, y la compañía publicó pautas para las organizaciones que no pueden aplicar la actualización de inmediato.

«Infectar las actualizaciones de program legítimas de un proveedor ampliamente utilizado puede ser una forma eficaz de inyectar malware de forma encubierta en una gran cantidad de organizaciones», dice Hank Schless, gerente senior de soluciones de seguridad de Lookout. «Si tiene éxito, esta forma de ataque a la cadena de suministro se puede utilizar para atacar a toda una industria de una sola vez».

Las recomendaciones de SolarWinds para aquellos que no pueden actualizar de inmediato son: asegúrese de que la plataforma Orion esté instalada detrás de firewalls, desactive el acceso a Net a la plataforma y limite el acceso al puerto solo a lo estrictamente necesario.

En su aviso de seguridad, FireEye describió varios métodos para detectar la actividad posterior al compromiso en sus redes. Estos incluyen la consulta de datos de escaneo de Internet en busca de direcciones IP malintencionadas que puedan disfrazarse como direcciones IP legítimas de una organización y la geolocalización de direcciones IP que se utilizan para acceso remoto. Eso identificará las cuentas comprometidas que se están utilizando desde diferentes ubicaciones. El proveedor de seguridad también recomendó que las organizaciones «usen el módulo LogonTracker de HX para graficar toda la actividad de inicio de sesión y analizar los sistemas que muestran una relación de uno a muchos entre los sistemas de origen y las cuentas».

Malware SUNBURST

FireEye, que descubrió la brecha, dijo que los actores detrás de él, rastreado como UNC2452, habían troyanizado las actualizaciones del software comercial Orion de SolarWinds para distribuir el malware que FireEye ha denominado SUNBURST. Ben Read through, gerente senior de análisis del grupo Mandiant de FireEye, dice que UNC2452 es un grupo de amenaza distinto que no está vinculado a ningún otro grupo rastreado en este momento. La puerta trasera en sí existe en un componente firmado digitalmente del marco de software de Orion y está diseñada para comunicarse a través de HTTP con servidores controlados por atacantes.

Según FireEye, una vez instalado en un sistema a través de la actualización de SolarWinds, el malware permanece inactivo hasta dos semanas antes de que comience a recuperar y ejecutar comandos. Sus capacidades incluyen la capacidad de transferir y ejecutar archivos, perfiles de sistemas, deshabilitar servicios del sistema y reiniciar un sistema inactivo.

«El malware disfraza su tráfico de purple como el protocolo del Programa de mejora de Orion (OIP) y almacena los resultados del reconocimiento dentro de archivos de configuración de complementos legítimos, lo que le permite integrarse con la actividad legítima de SolarWinds», dijo FireEye. El malware utiliza múltiples técnicas para identificar antivirus y otras herramientas de detección de malware.

El CEO de FireEye, Kevin Mandia, describió la campaña como probablemente el trabajo de un sofisticado actor de amenazas patrocinado por el estado con recursos de primer nivel y habilidades operativas. Algunos dentro de la industria han señalado que las agencias de inteligencia rusas están detrás de los ataques.

Los atacantes parecen haber hecho todo lo posible para observar el tráfico en las redes de las víctimas y combinar los signos de su propia actividad con la actividad standard de la pink, dijo Mandia en un informe. Weblog. El proveedor de seguridad ha publicado indicadores de compromiso y firmas para detectar la actividad de amenazas de SUNBURST en su público. GitHub página.

Matt Walmsley, director para EMEA de Vectra, dice que los atacantes probablemente manipularon los tokens de autenticación de Stability Assertion Mark-up Language (SAML) utilizados en One Signal On para intentar escalar los privilegios en las primeras etapas de la campaña. Luego, podrían haber usado los privilegios obtenidos ilícitamente para pasar a la instancia de Microsoft 365 de SolarWinds y usar las herramientas integradas allí para configurar nuevas cuentas privilegiadas, definir reglas de enrutamiento de correo electrónico, realizar reconocimientos, recopilar datos de los repositorios de SharePoint y OneDrive, y establecer up flujos de trabajo automatizados para ejecutar tales actividades maliciosas de forma autónoma.

«Los administradores de TI y los equipos de seguridad tienen acceso a credenciales altamente privilegiadas como parte de su trabajo legítimo», dice Walmsley. «Atacar la cadena de suministro electronic de sus herramientas de application es un intento de lograr penetración y persistencia en el corazón de sus operaciones».

La brecha de SolarWinds no es la primera vez que los atacantes ingresan a los servidores de actualización de software program de un proveedor de tecnología y lo utilizan para distribuir malware. En 2018, atacantes pertenecientes a una campaña de malware denominada Procedure ShadowHammer, irrumpieron en uno de esos servidores pertenecientes al fabricante de hardware taiwanés ASUS y utilizaron su acceso para distribuir malware disfrazado de actualizaciones de software legítimas a los clientes de ASUS que habían habilitado actualizaciones automáticas. El proveedor de seguridad Kaspersky reveló la violación en marzo de 2019 y la describió como un impacto a cientos de miles de usuarios de ASUS, aunque en realidad solo se dirigió a un porcentaje muy pequeño de ellos.

Los expertos en seguridad consideran que estos ataques son particularmente peligrosos porque las organizaciones a menudo tienden a tratar los parches, las actualizaciones de application y otros productos de sus proveedores de tecnología como confiables y seguros. Muy pocos realmente pasan por el paso adicional de examinar las actualizaciones o los productos de sus proveedores de confianza por problemas de seguridad, aunque los expertos han advertido durante mucho tiempo que deberían hacerlo.

Ayal Yogev, director ejecutivo de Anjuna Protection, dice que el objetivo de la tecnología Orion de SolarWinds es importante porque cientos de miles de organizaciones en el gobierno, la banca, la atención médica y otras industrias críticas la utilizan para monitorear su crimson.

«La tecnología generalmente la compran los administradores de red y, en muchos casos, se puede comprar en línea a un precio que no requiere prácticas estándar de adquisición de computer software», dice Yogev.

De hecho, es posible que muchas organizaciones ni siquiera se den cuenta de que lo tienen, dice.

«La buena noticia es que SolarWinds no contiene directamente información confidencial», dice. «La mala noticia es que proporciona un mapa de muchos componentes de una empresa que pueden tener vulnerabilidades».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary