Nyheter

SolarWinds sårbarhet SUNBURST – oppdatering 17.12.20

Oppsummering så langt

Situasjon pr. 17.12.2020:

  • Rundt 18.000 kunder av SolarWinds er direkte eller indirekte påvirket av hendelsen.
  • Microsoft tar den 15. desember 2020 kontroll over et nøkkeldomene brukt av trusselaktøren som igjen fører til at en «kill switch» blir indirekte aktivert.
  • Oppdatering 2020.2.1 HF2 ble publisert av SolarWinds den 16. desember 2020.
  • Den 16. desember 2020 ble det sluppet Windows Defender-signaturer som setter de ondsinnede filene i karantene. Dette kan forårsake problemer for gamle SW-installasjoner.
  • Symantec har identifisert rundt 2000 selskaper som har fått lastet ned den ondsinnede DLL-filen, men analyser viser at bare et fåtall av disse har fått installert BACKDOOR.TEARDROP.

En trusselaktør som foreløpig går under navnet UNC2452, navngitt av FireEye, har laget og signert trojaniserte programvareoppdateringer. Disse har blitt distribuert via Solarwinds oppdateringsinfrastruktur i perioden mars 2020 – mai 2020. Hendelsen har fått samlebetegnelsen Solorigate.

SolarWinds.Orion.Core.BusinessLayer.dll er en komponent av Orion programvarerammeverket og inneholder en bakdør som, via HTTP, kommuniserer med tredjepartsservere etter å ha gjort DNS-oppslag. Den manipulerte versjonen av denne komponenten har fått navnet SUNBURST.

Når en Solarwinds-installasjon blir infisert vil trojaneren ligge passiv opp til to uker, før den blir aktivert og starter å motta kommandoer (jobs) fra C2 (kommandosentralen for trusselaktør). Den ondsinnede DLL-en vil forsøke å kontakte avsvmcloud[.]com for å klargjøre for en mulig “second-stage” payload, samt for å kompromittere og eksfiltrere data.

Den 15. desember 2020 ble det bekreftet at Microsoft, i samarbeid med andre selskaper, har tatt kontroll over domenet avsvmcloud[.]com. Dette fører til at all trafikk fra den infiserte DLL-en som går mot underdomener av dette domenet vil treffe et sinkhole som er kontrollert av Microsoft. Dermed vil ikke trafikk som går mot dette domenet nå frem til trusselaktøren.
For mer detaljert informasjon om kill switch-funksjonaliteten kan du ta kontakt med oss.

En ny oppdatering, 2020.2.1 HF2, som fjerner den ondsinnede filen ble publisert i går (16.12.2020) og det anbefales at denne installeres umiddelbart. Denne kan lastes ned fra Customer Portal.
Dersom du trenger mer informasjon eller bistand til prosessen rundt oppgradering av Orion, kan du ta kontakt med oss på drift@nc-spectrum.no