Hackers zetten "achterdeurtje" open bij 'nieuwe update' van monitor en beheer software

Gepubliceerd op 15 december 2020 om 12:00
Hackers zetten "achterduurtje" open bij 'nieuwe update' van monitor en beheer software

Hackers zijn erin geslaagd om officiële software-updates van it-beheersoftware 'SolarWinds' van een backdoor te voorzien en zo overheden en bedrijven wereldwijd aan te vallen. Dat hebben SolarWindsMicrosoft, securitybedrijf FireEye en het Amerikaans CISA bekendgemaakt. De aanvallers wisten op deze manier ook bij FireEye binnen te dingen.

Orion Platform

SolarWinds is aanbieder van het Orion Platform dat uit allerlei producten bestaat voor het monitoren en beheren van it-omgevingen. Aanvallers wisten toegang tot systemen van SolarWinds te krijgen en zo legitieme updates van het Orion Platform van een backdoor te voorzien. De besmette updates werden tussen maart en juni van dit jaar via de servers van SolarWinds aangeboden.

Volgens SolarWinds hebben de aanvallers toegang gekregen tot het Orion 'software build system' en konden zo de backdoor aan de updates toevoegen, die vervolgens bij klanten werden geïnstalleerd. SolarWindows stelt dat het meer dan 300.000 klanten heeft. Daarvan maken er 33.000 gebruik van het Orion Platform. Het aantal Orion-klanten dat de besmette updates ook heeft gedownload "is minder dan 18.000", aldus de verklaring.

Microsoft Office 365

Verder meldt SolarWinds dat het werkt met Microsoft Office 365 voor e-mail en productiviteitstools en dat er een niet nader genoemde aanvalsvector is gebruikt voor het compromitteren van e-mails. Daarmee hebben de aanvallers mogelijk ook toegang gekregen tot data van de productiviteitstools. In samenwerking met Microsoft heeft SolarWinds deze inbraak verholpen en wordt er onderzocht of die iets te maken heeft met de aanval op het Orion Platform.

Zodra de backdoor actief was installeerden de aanvallers aanvullende malware, infecteerden andere machines in het netwerk en probeerden data te stelen. SolarWinds heeft al een hotfix voor besmette versies van de software uitgebracht en volgt morgen met een tweede hotfix. Securitybedrijf FireEye, dat vorige week melding maakte van een inbraak op het eigen netwerk, heeft laten weten dat het door middel van de SolarWinds-backdoor werd gecompromitteerd. Ook twee Amerikaanse ministeries zouden slachtoffer zijn geworden.

Wanneer ben je kwetsbaar?

De kwetsbare versies van de software zijn:

  • SolarWinds Orion Core Services
  • SolarWinds Orion Network Atlas
  • SolarWinds Orion Network Performance Monitor van de versie 2019.4 HF 5 - 2020.2.1.

Wat te doen?

Mocht je gebruik maken van software van SolarWinds is het advies om:

  • direct vast te (laten) stellen of je gebruik maakt van kwetsbare versie van de software
  • kennis te nemen van de mitigerende maatregelen welke door SolarWinds zijn gepubliceerd
Secure Configuration In The Orion Platform
PDF – 175,7 KB 327 downloads
  • afstemmen van de noodzakelijke maatregelen door de eigen organisatie of IT-dienstverlener, waarbij wordt geadviseerd om de door SolarWinds aangeboden updates voor versie 2020.2.1 HF 1 zo spoedig mogelijk door te voeren
Solar Winds Security Advisory
PDF – 30,3 KB 341 downloads

FireEye

Threat Research
PDF – 264,9 KB 323 downloads

CISA

Active Exploitation Of Solar Winds Software CISA
PDF – 200,2 KB 308 downloads

Microsoft

Customer Guidance On Recent Nation
PDF – 176,1 KB 358 downloads

Bron: digitaltrustcenter.nl, cisa.gov, fireeye.com, microsoft.com, solarwinds.com, security.nl

Meer nieuwsberichten of info over ‘hacking’?

Tips of verdachte activiteiten gezien? Meld het hier of anoniem.