SolarWinds, el proveedor de software de monitoreo empresarial que se encontró en el epicentro de los ataques más importantes a la cadena de suministro, dijo que hasta 18.000 de sus clientes de alto perfil podrían haber instalado una versión contaminada de sus productos Orion.
El reconocimiento se produce como parte de una nueva presentación realizada por la compañía a la Comisión de Bolsa y Valores de Estados Unidos el lunes.
La empresa con sede en Texas atiende a más de 300.000 clientes en todo el mundo, incluidas todas las ramas del ejército de los EE. UU. Y cuatro quintas partes de las empresas Fortune 500.El «incidente fue probablemente el resultado de un ataque manual, dirigido y altamente sofisticado a la cadena de suministro por parte de un estado nacional externo», dijo SolarWinds en la divulgación regulatoria , agregando que «actualmente cree que el número real de clientes que pueden haber tenido una instalación del Los productos Orion que contenían esta vulnerabilidad eran menos de 18.000 «.
La compañía también reiteró en su aviso de seguridad que además de las versiones 2019.4 HF 5 y 2020.2 de SolarWinds Orion Platform, ninguna otra versión del software de monitoreo u otros productos que no sean de Orion se vieron afectados por la vulnerabilidad.
Los detalles sobre cómo los piratas informáticos penetraron en la propia red de SolarWinds aún son confusos, pero la compañía señaló en su presentación que fue alertado sobre un compromiso de sus cuentas de productividad de oficina y correo electrónico de Microsoft Office 365 que actualmente está investigando para determinar cuánto tiempo existió y si la debilidad estaba «asociada con el ataque a su sistema de compilación de software Orion«.
Es preocupante, según un informe del investigador de seguridad Vinoth Kumar, que también parece que un repositorio SolarWinds GitHub de acceso público estaba filtrando credenciales FTP del dominio «downloads.solarwinds.com», lo que permite que un atacante cargue potencialmente un ejecutable malicioso disfrazado de Actualizaciones de software de Orion al portal de descargas. Peor aún, el servidor FTP estaba protegido por una contraseña trivial.
Tras la divulgación responsable de Kumar el año pasado, la compañía abordó la configuración incorrecta el 22 de noviembre de 2019.
El desarrollo se produce un día después de que la firma de ciberseguridad FireEye dijera que identificó una campaña de intrusión global de nueve meses dirigida a entidades públicas y privadas que introducen código malicioso en actualizaciones de software legítimas para que el software Orion de SolarWinds ingrese a las redes de las empresas e instale una puerta trasera. llamado SUNBURST («SolarWinds.Orion.Core.BusinessLayer.dll»).
«El DLL malicioso llama a una infraestructura de red remota utilizando los dominios avsvmcloud.com. Para preparar posibles cargas útiles de segunda etapa, moverse lateralmente en la organización y comprometer o exfiltrar datos», dijo Microsoft en un escrito.
El Departamento de Seguridad Nacional de EE. UU. Fue violado, al igual que los departamentos de Comercio y Tesoro, informó ayer Reuters . La campaña de espionaje también incluyó el ciberataque del 8 de diciembre en FireEye, aunque no está claro de inmediato si la intrusión y la exfiltración fueron el resultado directo de una actualización deshonesta de SolarWinds.
«La campaña demuestra la capacidad operativa y la dotación de recursos de primer nivel en consonancia con los actores de amenazas patrocinados por el estado», dijo el CEO de FireEye, Kevin Mandia. «Estos compromisos no se propagan por sí mismos; cada uno de los ataques requiere una planificación meticulosa e interacción manual».
Si bien aún se desconocen las consecuencias causadas por la campaña de piratería, se han señalado con el dedo a APT29, un colectivo de piratería afiliado al servicio de inteligencia exterior ruso. FireEye, que rastrea la campaña como «UNC2452», no ha vinculado el ataque con Rusia.
«La campaña SUNBURST representa un evento de intrusión singularmente angustioso con implicaciones para múltiples industrias y operadores de red», dijo el investigador de seguridad senior de DomainTools, Joe Slowik .
«La ubicuidad de SolarWinds en grandes redes, combinada con el tiempo de permanencia potencialmente prolongado de las intrusiones facilitadas por este compromiso, significa que las víctimas de esta campaña no solo necesitan recuperar su instancia de SolarWinds, sino que pueden necesitar realizar restablecimientos de contraseña generalizados, recuperación de dispositivos y similares actividad de restauración para desalojar por completo a un intruso «.
«A través del monitoreo continuo del tráfico de la red y la comprensión de lo que los hosts se están comunicando, los defensores pueden aprovechar las debilidades y dependencias de los atacantes para superar estos desafíos que de otro modo serían abrumadores», agregó.
Por su parte, se espera que SolarWinds publique una segunda revisión más tarde hoy que reemplaza el componente vulnerable y agrega varias mejoras de seguridad adicionales.
Vía: The Hacker News
