-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
######################## UPDATE 1.01 #############################
Titel : Actief misbruikte kwetsbaarheden verholpen in
SolarWinds Orion
Advisory ID : NCSC-2020-1021
Versie : 1.01
Kans : high
CVE ID :
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : high
(Remote) code execution (Administrator/Root rechten)
Toegang tot gevoelige gegevens
Uitgiftedatum : 20201216
Toepassing : Solarwinds Application Centric Monitor
Solarwinds Database Performance Analyzer Integration
Module (DPAIM)
Solarwinds Enterprise Operations Console
Solarwinds High Availability (HA)
Solarwinds IP Address Manager (IPAM)
Solarwinds Log Analyzer (LA)
Solarwinds NetFlow Traffic Analyzer (NTA)
Solarwinds Network Automation Manager (NAM)
Solarwinds Network Configuration Manager (NCM)
Solarwinds Network Operations Manager (NOM)
Solarwinds Network Performance Monitor (NPM)
Solarwinds Orion Core Services
Solarwinds Orion Network Atlas
Solarwinds Orion Network Performance Monitor
Solarwinds Server & Application Monitor (SAM)
Solarwinds Server Configuration Monitor (SCM)
Solarwinds Storage Resource Monitor (SRM)
Solarwinds User Device Tracker (UDT)
Solarwinds Virtualization Manager (VMAN)
Solarwinds VoIP & Network Quality Manager (VNQM)
Solarwinds Web Performance Monitor (WPM)
Versie(s) :
Platform(s) :
Update
SolarWinds heeft hotfix 2019.4 HF 6 en 2020.2.1 HF 2 uitgegeven voor
het Orion Platform. Tevens is het beveiligingsadvies aangepast en
voorzien van de laatste informatie, waaronder een lijst van
producten welke onderdeel zijn van het platform en geraakt zijn door
de malafide software welke tussen maart en juni verpreid is.
Beschrijving
SolarWinds meldt actief misbruik van SolarWinds Orion. Door een nog
onbekende methode is tussen maart en juni 2020 een versie van Orion
verspreid, waar een Trojan in blijkt te zitten. Het betreft de
versies 2019.4 HF 5, 2020.2 (zonder hotfix) en 2020.2 HF 1. De
gemanipuleerde versies worden misbruikt door kwaadwillenden om
toegang te krijgen tot zeer gerichte doelen. Welke doelen dit
betreft is door SolarWinds niet publiek bekend gemaakt. Omdat de
Trojan is verspreid als een bona fide update, is het mogelijk dat de
kwetsbare versies onbedoeld ook in andere infrastructuren zijn
geïmplementeerd dan de kwaadwillenden initieel voor ogen hadden.
Deze infrastructuren staan daarmee potentieel volledig onder
controle van kwaadwillenden, indien zij tot compromittatie overgaan.
De kwaadwillenden zijn dan in staat om willekeurige code uit te
voeren of toegang te krijgen tot gevoelige gegevens.
SolarWinds vermeldt dat potentieel 18.000 klanten zijn geraakt en
deze klanten actief benaderd te hebben.
SolarWinds heeft een lijst vrijgegeven met producten welke geraakt
zijn door de Trojan. Het betreft onderstaande lijst indien het
platform van de kwetsbare versie is:
Application Centric Monitor (ACM)
Database Performance Analyzer Integration Module (DPAIM)
Enterprise Operations Console (EOC)
High Availability (HA)
IP Address Manager (IPAM)
Log Analyzer (LA)
Network Automation Manager (NAM)
Network Configuration Manager (NCM)
Network Operations Manager (NOM)
Network Performance Monitor (NPM)
NetFlow Traffic Analyzer (NTA)
Server & Application Monitor (SAM)
Server Configuration Monitor (SCM)
Storage Resource Monitor (SRM)
User Device Tracker (UDT)
Virtualization Manager (VMAN)
VoIP & Network Quality Manager (VNQM)
Web Performance Monitor (WPM)
SolarWinds vermeldt expliciet dat overige producten, en
bovengenoemde producten van eerdere en latere versies, NIET
kwetsbaar zijn, waarbij zij met name de Database Performance
Analyzer (DPA) vermelden, om verwarring met de kwetsbare Database
Performance Analzyzer Integration Module (DPAIM) te voorkomen.
Mogelijke oplossingen
SolarWinds heeft updates uitgebracht om de kwetsbaarheden te
verhelpen in 2019.4 HF 6 en 2020.2.1 HF 2. Hierin zijn zowel de
kwetsbaarheden als additionele beveiligingsfuncties opgenomen.
SolarWinds vermeldt de mogelijk getroffen klanten actief benaderd te
hebben.
Het NCSC adviseert om de updates zo spoedig mogelijk te installeren
en de mitigerende maatregelen te evalueren, deze waar mogelijk te
impelementeren en te monitoren op verdacht verkeer. Voor meer
informatie, handelingsperspectieven en een lijst met getroffen
(deel)producten, zie:
https://www.solarwinds.com/securityadvisory
Mitigerende maatregelen (pdf):
https://www.solarwinds.com/-/media/solarwinds/swdcv2/landing-pages
/trust-center/resources
/secure-configuration-in-the-orion-platform.ashx?rev=32603e0c87d8
4085b081f99a33fe5f4d&hash=62A998B9753957D82BC0F07005D38368
FireEye heeft een uitgebreid rapport gepubliceerd en
detectiemiddelen vrijgegeven op haar GitHub omgeving. Het NCSC
adviseert om de gepubliceerde indicatoren te gebruiken voor
monitoring en onderzoek naar mogelijke compromittatie. Zie
onderstaande hyperlinks voor additionele informatie.
https://www.fireeye.com/blog/threat-research/2020/12
/evasive-attacker-leverages-solarwinds-supply-chain-compromises-w
ith-sunburst-backdoor.html
https://github.com/fireeye/sunburst_countermeasures
Het NCSC houdt de ontwikkelingen in de gaten en werkt dit
beveiligingsadvies bij wanneer nodig.
Hyperlinks
https://github.com/fireeye/sunburst_countermeasures
https://www.fireeye.com/blog/threat-research/2020/12
/evasive-attacker-leverages-solarwinds-supply-chain-compromises-w
ith-sunburst-backdoor.html
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8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=ZB2L
-----END PGP SIGNATURE-----
