Nyheter

SolarWinds sårbarhet SUNBURST – oppdatering 16.12.20

Hva har skjedd?

En trusselaktør som foreløpig går under navnet UNC2452, navngitt av FireEye, har laget og signert trojaniserte programvareoppdateringer. Disse har blitt distribuert via Solarwinds oppdateringsinfrastruktur i perioden mars 2020 – mai 2020. Hendelsen har fått samlebetegnelsen Solorigate.

SolarWinds.Orion.Core.BusinessLayer.dll er en komponent av Orion programvarerammeverket og inneholder en bakdør som, via HTTP, kommuniserer med tredjepartsservere etter å ha gjort DNS-oppslag. Den manipulerte versjonen av denne komponenten har fått navnet SUNBURST.

Når en Solarwinds-installasjon blir infisert vil trojaneren ligge passiv opp til to uker, før den blir aktivert og starter å motta kommandoer (jobs) fra C2 (kommandosentralen for trusselaktør). Den ondsinnede DLL-en vil forsøke å kontakte avsvmcloud[.]com for å klargjøre for en mulig “second-stage” payload, samt for å kompromittere og eksfiltrere data.

Den 15. desember 2020 ble det bekreftet at Microsoft, i samarbeid med andre selskaper, har tatt kontroll over domenet avsvmcloud[.]com. Dette fører til at all trafikk fra den infiserte DLL-en som går mot underdomener av dette domenet vil treffe et sinkhole som er kontrollert av Microsoft. Dermed vil ikke trafikk som går mot dette domenet nå frem til trusselaktøren. En ny oppdatering som fjerner den ondsinnede filen ble publisert i dag (16.12.2020) og det anbefales at denne installeres umiddelbart. Denne kan lastes ned fra Customer Portal hos SolarWinds.

Trenger du bistand?

Dersom noen har behov for mer detaljert og teknisk informasjon om hvilke komponenter som er påvirket, hvilke indikatorer som viser om systemer er påvirket, samt anbefalte handlinger dersom man er påvirket, ta kontakt med oss på drift@nc-spectrum.no