SolarWinds® Orion Plattform enthält, nach einer Mitteilung über einen Sicherheitsvorfall von Solarwinds vom 13.12.2020 – tweetlink – eine Sicherheitslücke, die von Version 2019.4 Hotfix 5 bis zur Version 2020.2.1, die Im Zeitraum März 2020 bis Juni 2020 released wurden.
Die Sicherheitslücke nutzt das SolarWinds® Orion Update, um einen Trojaner als sicherheitszertifizierte Anwendung auszurollen. Nach der Installation hat der Angreifer die Möglichkeit, weitere Teile des Netzwerks zu kompromittieren und eigene privilegierte Accounts in ihrer Infrastruktur anzulegen. Wir empfehlen allen SolarWinds® Orion dringend sofortige Handlung und Reparatur.
Die Sicherheitsagentur FireEye hat den Angriff identifiziert und hier eine detaillierte Beschreibung dieses Kompromisses veröffentlicht, die Informationen zum Angriffsvektor und den beteiligten Akteuren enthält. https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
Lektüre als Empfehlung
Solarwinds selbst informiert laufend auf folgender Webseite https://www.solarwinds.com/securityadvisory über den Vorfall. Wir empfehlen Ihnen dringend die Lektüre, um die aktuellen Herstellerinformationen und –empfehlungen nutzen zu können.
- Sind Sie betroffen? – Melden Sie sich in Ihrer Orion-Web-Benutzeroberfläche an und prüfen Sie die Seitenfußzeile.
- So bestätigen Sie die Hotfix-Version! – Navigieren Sie zu Einstellungen> My Orion-Bereitstellung> Updates und Evaluierung
- Auf dieser Seite sehen Sie, ob Updates verfügbar sind (zu diesem Zeitpunkt ist ein Internetzugang erforderlich).
- Was tun? – Die erste Handlung sollte sein, das Risiko zu minimieren, indem ein Upgrade der Orion-Plattform auf die neueste Version 2020.2.1 HF1 durchgeführt wird. Beachten Sie, dass SolarWinds bereits angekündigt hat, dass ein weiteres HotFix wahrscheinlich am 15.12.2020 zu veröffentlichen, das zusätzliche Schadensbegrenzung und zusätzliche Sicherheitsverbesserungen umfasst.
Ein Upgrade schützt Sie sofort, wir empfehlen dennoch weitere Prüfungen und Einstellungen um das potenzielle Risiko umfassend einzugrenzen:
Zugang zum Server sperren
Blockieren Sie den gesamten Internetverkehr zu und von den Orion-Servern, bis Sie die Version 2020.2.1 HF2 angewendet haben.
Überprüfen Sie alle DNS-Suchvorgänge und den Datenverkehr, die in den folgenden Domänen durchgeführt wurden, da diese als potenzielle externe Anrufe identifiziert wurden.
- avsvmcloud [.] com
- zupertech [.] com
- panhardware [.] com
- databaseasalore [.] com
- Einkommensaktualisierung [.] com
- highdatabase [.] com
- websitetheme [.] com
- freescanonline [.] com
- virtualdataserver [.] com
- Deftsecurity [.] com
- thedoccloud [.] com
- digitalcollege [.] org
- globalnetworkissues [.] com
- seobundlekit [.] com
- virtualwebdata [.] com
Überprüfen Sie alle Änderungen die an privilegierten Konten vorgenommen wurden. Hierbei prüfen Sie möglichst alle Accounts in Ihrer Domain und auf den lokalen Orion-Servern.
Support einschalten bei SIEM-Lösung
Wenn Sie über die SolarWinds SIEM-Lösung SEM verfügen, teilen Sie uns dies mit. Wir können Ihnen dabei helfen, Filter einzurichten, um die Identifizierung zu erleichtern.
Wenn Sie die Orion NCM-Anwendung im Einsatz haben, überprüfen Sie die letzten Änderungen an Netzwerkgeräten.
Kennwörter ändern
Wir empfehlen, die von Orion zum Abrufen von Ressourcen verwendeten Kennwörter zu ändern.
Zudem empfehlen wir unseren Kunden, ein Dienstkonto zu erstellen, mit dem der Orion Server abfragt. Wir regen an, diese auch zu ändern:
- Orion-Einstellungen> Alle Einstellungen> Windows-Anmeldeinformationen verwalten
- Orion-Einstellungen> Alle Einstellungen> SAM-Einstellungen> Anmeldeinformationsbibliothek
Unser Team aus erfahrenen Technikern steht Ihnen gerne mit weiteren Anleitungen oder bei Fragen zu Ihrer Installation zur Verfügung.
support@netmon24.eu oder telefonisch unter 06431/59870-0.