CSIRT Panamá Aviso 2020-12-18 Vulnerabilidad y campaña de explotación en SolarWinds Orion

TOPICS:backdoors campaña de explotacion solar winds vulnerabilidades

Posted By: CSIRT Panamá December 18, 2020

Gravedad: Alta
Fecha de publicación: Diciembre 18, 2020
Última revisión: Diciembre 18, 2020
https://us-cert.cisa.gov/ncas/alerts/aa20-352a

Sistemas Afectados:
SolarWinds Orion Platform, versiones 2019.4 HF 5, 2020.2 sin hotfix y 2020.2 HF 1, en los siguientes productos:
Application Centric Monitor (ACM),
Database Performance Analyzer Integration Module (DPAIM),
Enterprise Operations Console (EOC),
High Availability (HA),
IP Address Manager (IPAM),
Log Analyzer (LA),
Network Automation Manager (NAM),
Network Configuration Manager (NCM),
Network Operations Manager (NOM),
Network Performance Monitor (NPM),
NetFlow Traffic Analyzer (NTA),
Server & Application Monitor (SAM),
Server Configuration Monitor (SCM),
Storage Resource Monitor (SCM),
User Device Tracker (UDT),
Virtualization Manager (VMAN),
VoIP & Network Quality Manager (VNQM),
Web Performance Monitor (WPM).

I. Descripción
FireEye ha descubierto un ataque a la cadena de suministro que ha troyanizado las actualizaciones del software empresarial SolarWinds Orion para distribuir un malware tipo backdoor denominado SUNBURST.
La campaña, cuyos actores responsables son conocidos como UNC2452, está muy extendida y afecta a organizaciones públicas y privadas de todo el mundo.
El malware enmascara su tráfico de red como el protocolo OIP (Orion Improvement Program) y almacena los resultados del reconocimiento en archivos de configuración de plugins legítimos, lo que le permite ocultarse entre la actividad legítima de SolarWinds.
El backdoor utiliza múltiples listas de bloqueo ofuscadas para identificar las herramientas forenses y antivirus que se ejecutan como procesos, servicios y controladores.
La actividad posterior a este compromiso de la cadena de suministro ha incluido movimiento lateral y robo de datos. FireEye está publicando firmas para detectar esta amenaza.

II. Referencia a soluciones, herramientas e información
Para Orion Platform v2020.2 sin hotfix y 2020.2 HF 1, actualizar a la versión 2020.2.1 HF 2. Esta versión reemplaza el componente comprometido y proporciona varias mejoras de seguridad adicionales.
Para Orion Platform v2019.4 HF 5, actualizar a la versión 2019.4 HF 6.
Se recomienda actualizar SolarWinds Orion Platform a estas versiones a la mayor brevedad, ya que esta vulnerabilidad podría ser explotada de manera activa.

III. Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Facebook: http://www.facebook.com/CSIRTPanama
Key ID: 16F2B124

S	M	T	W	T	F	S
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30