SolarWinds: o que sabemos agora e o que as empresas podem fazer para se proteger

SolarWinds: o que sabemos agora e o que as empresas podem fazer para se proteger. É importante entender, avaliar, investigar, erradicar e reconstruir ou restaurar os sistemas afetados.

No início deste mês , soubemos que as compilações do software SolarWinds Orion Platform para as versões 2019.4 HF 5 a 2020.2.1(*) , lançadas entre março de 2020 e junho de 2020, foram comprometidas por um agente de ameaça persistente avançado (ou APT).   Os perpetradores desse ataque sofisticado implantaram um Trojan em uma atualização legítima da Plataforma Orion, lançada em março.   Depois que o Trojan foi ativado, ele permitiu que o agente da ameaça não apenas tivesse credenciais de alto nível na plataforma Orion, mas também pudesse se mover por outras áreas da rede e sistemas do alvo comprometido.

Até recentemente, o site da SolarWinds listava clientes representativos, incluindo empresas como CISCO, AT&T, Ford Motor Company e todas as cinco principais firmas de contabilidade dos EUA, para citar alguns.   Seus clientes federais (governo) incluem todos os cinco ramos das Forças Armadas dos EUA, o Pentágono dos EUA, o Departamento de Estado, o Departamento do Tesouro, a NASA e a NSA.   Muitos governos locais também usam produtos da SolarWinds.

Se uma empresa estava usando a plataforma SolarWinds Orion afetada, isso não significa necessariamente que o malware foi ativado.   O DHS e a CISA recomendam que as empresas preocupadas que possam ter sido afetadas devem:

• Espelhar os sistemas impactados para preservar os dados forenses para investigação posterior
• Desativar a plataforma
• Contratar os serviços de uma empresa com experiência em caça a ameaças cibernéticas para procurar ativamente por anomalias nos sistemas e redes de negócios
• Alterar todas as senhas e credenciais da conta
• Implementar autenticação multifator
• Para empresas que atualmente usam criptografia de 128 bits, atualizar para a criptografia de 256 bits
• Na medida em que a plataforma Orion faz parte da estratégia de gestão de risco cibernético de uma entidade, processos e procedimentos alternativos deveriam ser implementados.

É importante seguir etapas específicas ao trabalhar para investigar, erradicar e reconstruir / restaurar os sistemas afetados.

Consulte o site da CISA para obter as orientações e informações mais atualizadas.   A CISA divulgou o documento Alerta (AA20-352A) Compromisso avançado de ameaças persistentes de agências governamentais, infraestrutura crítica e organizações do setor privado | CISA  com orientações detalhadas da ocorrência e recomendações de mitigação. “A Cybersecurity and Infrastructure Security Agency (CISA) está ciente dos compromissos de agências governamentais dos EUA, entidades de infraestrutura crítica e organizações do setor privado por um ator de ameaça persistente avançada (APT) a partir de pelo menos março de 2020. Este ator de APT demonstrou paciência operacional segurança e habilidade comercial complexa nessas intrusões. A CISA espera que a remoção desse ator de ameaça de ambientes comprometidos seja altamente complexa e desafiadora para as organizações.”, afirmou. 

A CISA determinou que essa ameaça representa um grave risco para o Governo Federal e governos estaduais, locais, tribais e territoriais, bem como para entidades de infraestrutura crítica e outras organizações do setor privado. A CISA aconselha as partes interessadas a ler este Alerta e revisar os indicadores incluídos (consulte o Apêndice B).

Principais conclusões ( atualizado em 18 de dezembro de 2020 )

• Este é um adversário paciente, com bons recursos e focado que sustentou atividades de longa duração nas redes das vítimas.
• A CISA está investigando outros vetores de acesso inicial, além do comprometimento da cadeia de fornecimento da SolarWinds Orion. 
• Nem todas as organizações que oferecem a porta dos fundos por meio do SolarWinds Orion foram visadas pelo adversário com ações subsequentes.
• As organizações com suspeita de comprometimento precisam estar altamente conscientes da segurança operacional, incluindo ao se envolver em atividades de resposta a incidentes e no planejamento e implementação de planos de remediação. 

Para obter uma lista de IOCs para download, consulte o arquivo STIX .

Embora a SolarWinds tenha lançado dois hot patches na semana de 14 de dezembro de 2020, até hoje, o DHS e a CISA continuam a recomendar que as empresas tenham cuidado ao aplicar os patches e restaurar ou continuar a executar a plataforma Orion.   Observe também que a FireEye lançou um kill switch que interrompe o ataque contínuo.   No entanto, as entidades afetadas terão um longo caminho para restaurar os sistemas afetados e determinar o que já foi comprometido.

No entanto, no último fim de semana (26 dezembro), uma vulnerabilidade adicional no produto Orion da SolarWinds foi relatada pela Carnegie Mellon.   O relatório indicou que o bypass de autenticação da API Orion pode permitir que um hacker execute comandos remotamente. Embora haja um patch disponível para resolver isso, recomendamos cautela ainda, pois outras vulnerabilidades no produto podem ser descobertas nas próximas semanas.

Rumores circulavam na semana passada de que o ambiente de nuvem da Microsoft também havia sido comprometido, como resultado do Trojan Orion.   A CISA e o DHS explicaram em um briefing na sexta-feira, 18 de dezembro de 2020, que o Microsoft Cloud não foi comprometido. No entanto, o cavalo de Tróia oculto na atualização do Orion de março de 2020 permitiu que os malfeitores roubassem credenciais para outras contas de entidades afetadas – incluindo credenciais de acesso à nuvem da Microsoft.   Com as credenciais legítimas (roubadas), os agentes mal-intencionados conseguiam acessar dados nas contas de nuvem da Microsoft das entidades.

As empresas potencialmente afetadas são aconselhadas a examinar seus diretórios ativos em sua conta da Microsoft em busca de atividades anômalas.

E-mails comerciais de funcionários de alto nível e funções dentro de uma organização têm sido observados como alvos específicos da APT.   Como tal, é necessário um treinamento de atualização do pessoal para aumentar a conscientização sobre os comprometimentos do e-mail comercial.

Mesmo se sua entidade não estava executando um dos produtos afetados, verifique com os principais fornecedores para saber se eles foram afetados.   Nesse caso, o acesso aos seus sistemas pode ter sido comprometido e / ou a capacidade de fornecer seus serviços à sua organização pode ser afetada.

* Produtos SolarWinds Orion afetados

Fonte: Lexblog & CISA

Veja também:

• Importância do aprendizado contínuo de cibersegurança e privacidade
• O que é microssegmentação!
• Como você monta a sua senha? ela é forte o suficiente?
• Microsoft alertou CrowdStrike sobre uma possível tentativa de hack
• Anatel aprova Regulamento de Segurança Cibernética para Setor de Telecomunicações
• Como desenvolver um bom relatório de PenTest?
• Entenda o ataque hacker da SolarWinds que assombrou o mundo
• Microsoft encontra backdoor que pode relacionar à ataques da SolarWinds
• Hacking da SolarWinds é um dos mais devastadores da história
• DoD pretende lançar Guia sobre Zero Trust em 2021
• Realizando um PenTest profissional, da proposta e elaboração do escopo ao relatório final
• E se toda profissão fosse tratada como TI?