Actief misbruikte kwetsbaarheden verholpen in SolarWinds Orion

Deze pagina gebruikt slimmigheden om officiƫle advisory platte tekst naar HTML om te zetten. Daarbij kan die informatie worden verminkt. De "Signed-PGP" versies waarnaar verwezen wordt zijn normatief (maar deze zijn minder leesbaar).
Publicatie Kans Schade    
  Versie 1.01 16-12-2020 NCSC-2020-1021  
 
high
high
 Signed-PGP →  
16-12-2020
high
high
 NCSC-2020-1021 [1.01] Signed-PGP →
Kenmerken

Kenmerken
  • (Remote) code execution (Administrator/Root rechten)
  • Toegang tot gevoelige gegevens
Omschrijving

Omschrijving

SolarWinds meldt actief misbruik van SolarWinds Orion. Door een nog onbekende methode is tussen maart en juni 2020 een versie van Orion verspreid, waar een Trojan in blijkt te zitten. Het betreft de versies 2019.4 HF 5, 2020.2 (zonder hotfix) en 2020.2 HF 1. De gemanipuleerde versies worden misbruikt door kwaadwillenden om toegang te krijgen tot zeer gerichte doelen. Welke doelen dit betreft is door SolarWinds niet publiek bekend gemaakt. Omdat de Trojan is verspreid als een bona fide update, is het mogelijk dat de kwetsbare versies onbedoeld ook in andere infrastructuren zijn geïmplementeerd dan de kwaadwillenden initieel voor ogen hadden. Deze infrastructuren staan daarmee potentieel volledig onder controle van kwaadwillenden, indien zij tot compromittatie overgaan. De kwaadwillenden zijn dan in staat om willekeurige code uit te voeren of toegang te krijgen tot gevoelige gegevens.

SolarWinds vermeldt dat potentieel 18.000 klanten zijn geraakt en deze klanten actief benaderd te hebben.

SolarWinds heeft een lijst vrijgegeven met producten welke geraakt zijn door de Trojan. Het betreft onderstaande lijst indien het platform van de kwetsbare versie is:

Application Centric Monitor (ACM)
Database Performance Analyzer Integration Module (DPAIM) Enterprise Operations Console (EOC) High Availability (HA) IP Address Manager (IPAM) Log Analyzer (LA) Network Automation Manager (NAM) Network Configuration Manager (NCM) Network Operations Manager (NOM) Network Performance Monitor (NPM) NetFlow Traffic Analyzer (NTA) Server & Application Monitor (SAM) Server Configuration Monitor (SCM) Storage Resource Monitor (SRM) User Device Tracker (UDT) Virtualization Manager (VMAN) VoIP & Network Quality Manager (VNQM) Web Performance Monitor (WPM)

SolarWinds vermeldt expliciet dat overige producten, en bovengenoemde producten van eerdere en latere versies, NIET kwetsbaar zijn, waarbij zij met name de Database Performance Analyzer (DPA) vermelden, om verwarring met de kwetsbare Database Performance Analzyzer Integration Module (DPAIM) te voorkomen.
Bereik

Bereik
Platforms Producten Versies

Solarwinds Application Centric Monitor
Solarwinds Database Performance Analyzer Integration Module (DPAIM) Solarwinds Enterprise Operations Console Solarwinds High Availability (HA) Solarwinds IP Address Manager (IPAM) Solarwinds Log Analyzer (LA) Solarwinds NetFlow Traffic Analyzer (NTA) Solarwinds Network Automation Manager (NAM) Solarwinds Network Configuration Manager (NCM) Solarwinds Network Operations Manager (NOM) Solarwinds Network Performance Monitor (NPM) Solarwinds Orion Core Services Solarwinds Orion Network Atlas Solarwinds Orion Network Performance Monitor Solarwinds Server & Application Monitor (SAM) Solarwinds Server Configuration Monitor (SCM) Solarwinds Storage Resource Monitor (SRM) Solarwinds User Device Tracker (UDT) Solarwinds Virtualization Manager (VMAN) Solarwinds VoIP & Network Quality Manager (VNQM) Solarwinds Web Performance Monitor (WPM)
Oplossingen

Oplossingen

SolarWinds heeft updates uitgebracht om de kwetsbaarheden te verhelpen in 2019.4 HF 6 en 2020.2.1 HF 2. Hierin zijn zowel de kwetsbaarheden als additionele beveiligingsfuncties opgenomen. SolarWinds vermeldt de mogelijk getroffen klanten actief benaderd te hebben.

Het NCSC adviseert om de updates zo spoedig mogelijk te installeren en de mitigerende maatregelen te evalueren, deze waar mogelijk te impelementeren en te monitoren op verdacht verkeer. Voor meer informatie, handelingsperspectieven en een lijst met getroffen (deel)producten, zie [Link]

Mitigerende maatregelen (pdf) [Link]

FireEye heeft een uitgebreid rapport gepubliceerd en detectiemiddelen vrijgegeven op haar GitHub omgeving. Het NCSC adviseert om de gepubliceerde indicatoren te gebruiken voor monitoring en onderzoek naar mogelijke compromittatie. Zie onderstaande hyperlinks voor additionele informatie. [Link] [Link]

Het NCSC houdt de ontwikkelingen in de gaten en werkt dit beveiligingsadvies bij wanneer nodig.
Kans

Kans

Onderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen hoe groot de kans is dat deze kwetsbaarheid in het doorsnee praktijkgeval kan worden misbruikt. De punten worden bij elkaar geteld.

high
 ∑ = 30
Is de kwetsbaarheid aanwezig in de standaard configuratie/ installatie? Onduidelijk/Ja 3
Is er exploit-code beschikbaar? Exploit beschikbaar 6
Wordt de kwetsbaarheid in de praktijk gebruikt? Beperkt waargenomen 2
Zijn er technische details beschikbaar? Beperkt 2
Welke toegang is er nodig? Internet 6
Vereiste credentials Gewone gebruiker 2
Hoe moeilijk is het om de kwetsbaarheid uit te buiten? Complex 1
Is er gebruikers interactie nodig? Eenvoudige handelingen 3
Wordt misbruik of een exploit verwacht? Ja binnenkort 3
Is er een oplossing beschikbaar? Korter dan twee maanden 2
Schade

Schade

Onderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen voor de schade die bij een succesvolle aanval kan ontstaan. De hoogste inschaling bepaalt de totale kans op schade.

high
Denial of Service Nee
low
Uitvoeren van willekeurige code Ja, Root/Administrator-rechten
high
Rechten op afstand (remote [root-] shell) Nee
low
Verwerven lokale admin/root-rechten (privilege escalation) Nee
low
Lekken van (gevoelige) informatie Ja, Gebruikersdata
high
  Versie 1.01 16-12-2020 NCSC-2020-1021  
 
high
high
 Signed-PGP →  
16-12-2020
high
high
 NCSC-2020-1021 [1.01] Signed-PGP →
Update

Update

SolarWinds heeft hotfix 2019.4 HF 6 en 2020.2.1 HF 2 uitgegeven voor het Orion Platform. Tevens is het beveiligingsadvies aangepast en voorzien van de laatste informatie, waaronder een lijst van producten welke onderdeel zijn van het platform en geraakt zijn door de malafide software welke tussen maart en juni verpreid is.
  Versie 1.00 14-12-2020 NCSC-2020-1021  
 
high
high
 Signed-PGP →  
14-12-2020
high
high
 NCSC-2020-1021 [1.00] Signed-PGP →

Vrijwaringsverklaring

Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding.