Explotación de vulnerabilidad en Orion SolarWinds compromete a sus víctimas con el backdoor SUNBURST

El proveedor de software SolarWinds fue atacado y los hackers lograron implementar una actualización con malware Sunburst para la conocida aplicación de monitorización de redes Orion. De esta manera, podrían llegar a infectar las redes de las compañías o instituciones donde se encuentre desplegado.

La naturaleza de esta vulnerabilidad implica que cualquier organización que use versiones vulnerables podría verse afectada o probablemente sea vulnerable a la explotación, dado que las actualizaciones están firmadas, por lo que se presupone una legitimidad del ejecutable, y son instaladas automáticamente en todos los clientes que requieran actualización.

Operativa del malware. Fuente: Microsoft

Microsoft ha registrado el malware como Solorigate y se encuentran disponibles reglas para su detección y estas se comienzan a aplicar en diferentes antivirus, según reporte en Virus Total.

Fueron atacadas las cadenas de suministros en las compilaciones de software de la plataforma SolarWinds Orion para las versiones 2019.4 HF 5 y 2020.2 sin revisión o 2020.2 HF 1.

Solarwinds realiza las siguientes recomendaciones, indicando que deben ejecutarse lo antes posible, con el fin de garantizar la seguridad de los entornos:

  • Plataformas Orion v2020.2 sin revisión o 2020.2 HF 1 deben ser actualizadas a la versión 2020.2.1 HF 1. Esta versión está disponible actualmente en customerportal.solarwinds.com.
  • Plataformas Orion v2019.4 HF 5 deben ser actualizadas a la versión 2019.4 HF 6, que estaría disponible hoy, 14 de diciembre de 2020, en customerportal.solarwinds.com.
  • Si no puede actualizar de inmediato, se recomienda seguir las pautas disponibles para proteger la instancia de la plataforma Orion. Los pasos de mitigación principales incluyen tener la plataforma Orion instalada detrás de firewalls, deshabilitar el acceso a Internet para la plataforma Orion y limitar los puertos y conexiones a solo lo necesario.
  • El martes 15 de diciembre de 2020, se lanzará una versión de revisión adicional, 2020.2.1 HF 2 y se recomienda que todos los clientes actualicen a la versión 2020.2.1 HF 2 una vez que esté disponible, esta versión reemplaza el componente comprometido y proporciona varias mejoras de seguridad adicionales.

Los productos afectados conocidos para versiones de la plataforma Orion 2019.4 HF 5 y 2020.2 sin revisión o con 2020.2 HF 1, incluyen:

  • Application Centric Monitor (ACM)
  • Database Performance Analyzer Integration Module (DPAIM)
  • Enterprise Operations Console (EOC)
  • High Availability (HA)
  • IP Address Manager (IPAM)
  • Log Analyzer (LA)
  • Network Automation Manager (NAM)
  • Network Configuration Manager (NCM)
  • Network Operations Manager (NOM)
  • Network Performance Monitor (NPM)
  • NetFlow Traffic Analyzer (NTA)
  • Server & Application Monitor (SAM)
  • Server Configuration Monitor (SCM)
  • Storage Resource Monitor (SCM)
  • User Device Tracker (UDT)
  • Virtualization Manager (VMAN)
  • VoIP & Network Quality Manager (VNQM)
  • Web Performance Monitor (WPM)

Referencias: