SolarWinds: o que sabemos agora e o que as empresas podem fazer para se proteger

SolarWinds: o que sabemos agora e o que as empresas podem fazer para se proteger. É importante entender, avaliar, investigar, erradicar e reconstruir ou restaurar os sistemas afetados.

No início deste mês , soubemos que as compilações do software SolarWinds Orion Platform para as versões 2019.4 HF 5 a 2020.2.1(*) , lançadas entre março de 2020 e junho de 2020, foram comprometidas por um agente de ameaça persistente avançado (ou APT)  Os perpetradores desse ataque sofisticado implantaram um Trojan em uma atualização legítima da Plataforma Orion, lançada em março.   Depois que o Trojan foi ativado, ele permitiu que o agente da ameaça não apenas tivesse credenciais de alto nível na plataforma Orion, mas também pudesse se mover por outras áreas da rede e sistemas do alvo comprometido.

Até recentemente, o site da SolarWinds listava clientes representativos, incluindo empresas como CISCO, AT&T, Ford Motor Company e todas as cinco principais firmas de contabilidade dos EUA, para citar alguns.   Seus clientes federais (governo) incluem todos os cinco ramos das Forças Armadas dos EUA, o Pentágono dos EUA, o Departamento de Estado, o Departamento do Tesouro, a NASA e a NSA.   Muitos governos locais também usam produtos da SolarWinds.

Se uma empresa estava usando a plataforma SolarWinds Orion afetada, isso não significa necessariamente que o malware foi ativado.   O DHS e a CISA recomendam que as empresas preocupadas que possam ter sido afetadas devem:

  • Espelhar os sistemas impactados para preservar os dados forenses para investigação posterior
  • Desativar a plataforma
  • Contratar os serviços de uma empresa com experiência em caça a ameaças cibernéticas para procurar ativamente por anomalias nos sistemas e redes de negócios
  • Alterar todas as senhas e credenciais da conta
  • Implementar autenticação multifator
  • Para empresas que atualmente usam criptografia de 128 bits, atualizar para a criptografia de 256 bits
  • Na medida em que a plataforma Orion faz parte da estratégia de gestão de risco cibernético de uma entidade, processos e procedimentos alternativos deveriam ser implementados.

É importante seguir etapas específicas ao trabalhar para investigar, erradicar e reconstruir / restaurar os sistemas afetados.

Consulte o site da CISA para obter as orientações e informações mais atualizadas.   A CISA divulgou o documento Alerta (AA20-352A) Compromisso avançado de ameaças persistentes de agências governamentais, infraestrutura crítica e organizações do setor privado | CISA  com orientações detalhadas da ocorrência e recomendações de mitigação. A Cybersecurity and Infrastructure Security Agency (CISA) está ciente dos compromissos de agências governamentais dos EUA, entidades de infraestrutura crítica e organizações do setor privado por um ator de ameaça persistente avançada (APT) a partir de pelo menos março de 2020. Este ator de APT demonstrou paciência operacional segurança e habilidade comercial complexa nessas intrusões. A CISA espera que a remoção desse ator de ameaça de ambientes comprometidos seja altamente complexa e desafiadora para as organizações.”, afirmou. 

A CISA determinou que essa ameaça representa um grave risco para o Governo Federal e governos estaduais, locais, tribais e territoriais, bem como para entidades de infraestrutura crítica e outras organizações do setor privado. A CISA aconselha as partes interessadas a ler este Alerta e revisar os indicadores incluídos (consulte o Apêndice B).

Principais conclusões ( atualizado em 18 de dezembro de 2020 )

  • Este é um adversário paciente, com bons recursos e focado que sustentou atividades de longa duração nas redes das vítimas.
  • A CISA está investigando outros vetores de acesso inicial, além do comprometimento da cadeia de fornecimento da SolarWinds Orion. 
  • Nem todas as organizações que oferecem a porta dos fundos por meio do SolarWinds Orion foram visadas pelo adversário com ações subsequentes.
  • As organizações com suspeita de comprometimento precisam estar altamente conscientes da segurança operacional, incluindo ao se envolver em atividades de resposta a incidentes e no planejamento e implementação de planos de remediação. 

Para obter uma lista de IOCs para download, consulte o arquivo STIX .

Embora a SolarWinds tenha lançado dois hot patches na semana de 14 de dezembro de 2020, até hoje, o DHS e a CISA continuam a recomendar que as empresas tenham cuidado ao aplicar os patches e restaurar ou continuar a executar a plataforma Orion.   Observe também que a FireEye lançou um kill switch que interrompe o ataque contínuo.   No entanto, as entidades afetadas terão um longo caminho para restaurar os sistemas afetados e determinar o que já foi comprometido.

No entanto, no último fim de semana (26 dezembro), uma vulnerabilidade adicional no produto Orion da SolarWinds foi relatada pela Carnegie Mellon.   O relatório indicou que o bypass de autenticação da API Orion pode permitir que um hacker execute comandos remotamente. Embora haja um patch disponível para resolver isso, recomendamos cautela ainda, pois outras vulnerabilidades no produto podem ser descobertas nas próximas semanas.

Rumores circulavam na semana passada de que o ambiente de nuvem da Microsoft também havia sido comprometido, como resultado do Trojan Orion.   A CISA e o DHS explicaram em um briefing na sexta-feira, 18 de dezembro de 2020, que o Microsoft Cloud não foi comprometido. No entanto, o cavalo de Tróia oculto na atualização do Orion de março de 2020 permitiu que os malfeitores roubassem credenciais para outras contas de entidades afetadas – incluindo credenciais de acesso à nuvem da Microsoft.   Com as credenciais legítimas (roubadas), os agentes mal-intencionados conseguiam acessar dados nas contas de nuvem da Microsoft das entidades.

As empresas potencialmente afetadas são aconselhadas a examinar seus diretórios ativos em sua conta da Microsoft em busca de atividades anômalas.

E-mails comerciais de funcionários de alto nível e funções dentro de uma organização têm sido observados como alvos específicos da APT.   Como tal, é necessário um treinamento de atualização do pessoal para aumentar a conscientização sobre os comprometimentos do e-mail comercial.

Mesmo se sua entidade não estava executando um dos produtos afetados, verifique com os principais fornecedores para saber se eles foram afetados.   Nesse caso, o acesso aos seus sistemas pode ter sido comprometido e / ou a capacidade de fornecer seus serviços à sua organização pode ser afetada.

 

* Produtos SolarWinds Orion afetados

Versão da plataforma Orion Presente Código Sunburst Backdoor Versão do arquivo SHA-256
2019.4 Adulterado, mas sem backdoor 2019.4.5200.8890 a25cadd48d70f6ea0c4a241d99c5241269e6faccb4054e62d16784640f8e53bc
2019.4 HF1 No 2019.4.5200.8950 9bee4af53a8cdd7ecabe5d0c77b6011abe887ac516a5a22ad51a058830403690
2019,4 HF2 No 2019.4.5200.8996 bb86f66d11592e3312cd03423b754f7337aeebba9204f54b745ed3821de6252d
2019,4 HF3 No 2019.4.5200.9001 ae6694fd12679891d95b427444466f186bcdcc79bc0627b590e0cb40de1928ad
2019,4 HF4 No 2019.4.5200.9045 9d6285db647e7eeabdb85b409fad61467de1655098fec2e25aeb7770299e9fee
2020.2 RC1 sim 2020.2.100.12219 dab758bf98d9b36fa057a66cd0284737abf89857b73ca89280267ee7caf62f3b
2019,4 HF5 sim 2019.4.5200.9083 32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77
2020.2 RC2 sim 2020.2.5200.12394 019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134
2020.2
2020.2 HF1
sim 2020.2.5300.12432 ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6
2019,4 HF6 No 2019.4.5200.9106 8dfe613b00d495fb8905bdf6e1317d3e3ac1f63a626032fa2bdad4750887ee8a
2020.2.1
2020.2.1 HF1
No 2020.2.15300.12766 143632672dcb6ef324343739636b984f5c52ece0e078cfee7c6cac4a3545403a
2020.2.1 HF2 No 2020.2.15300.12901 cc870c07eeb672ab33b6c2be51b173ad5564af5d98bfc02da02367a9e349a76f

 

Fonte: Lexblog & CISA

 

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. O direito fundamental à proteção de dados pessoais
  2. 5 tendências modernas de operações de SOC que irão dominar 2021
  3. Sistemas de controle industrial: o novo alvo do malware

Deixe sua opinião!