-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.01 #############################

Titel           : Actief misbruikte kwetsbaarheden verholpen in
                  SolarWinds Orion
Advisory ID     : NCSC-2020-1021
Versie          : 1.01
Kans            : high
CVE ID          :
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : high
                  (Remote) code execution (Administrator/Root rechten)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20201216
Toepassing      : Solarwinds Application Centric Monitor
                  Solarwinds Database Performance Analyzer Integration
                  Module (DPAIM)
                  Solarwinds Enterprise Operations Console
                  Solarwinds High Availability (HA)
                  Solarwinds IP Address Manager (IPAM)
                  Solarwinds Log Analyzer (LA)
                  Solarwinds NetFlow Traffic Analyzer (NTA)
                  Solarwinds Network Automation Manager (NAM)
                  Solarwinds Network Configuration Manager (NCM)
                  Solarwinds Network Operations Manager (NOM)
                  Solarwinds Network Performance Monitor (NPM)
                  Solarwinds Orion Core Services
                  Solarwinds Orion Network Atlas
                  Solarwinds Orion Network Performance Monitor
                  Solarwinds Server & Application Monitor (SAM)
                  Solarwinds Server Configuration Monitor (SCM)
                  Solarwinds Storage Resource Monitor (SRM)
                  Solarwinds User Device Tracker (UDT)
                  Solarwinds Virtualization Manager (VMAN)
                  Solarwinds VoIP & Network Quality Manager (VNQM)
                  Solarwinds Web Performance Monitor (WPM)
Versie(s)       :
Platform(s)     :

Update
   SolarWinds heeft hotfix 2019.4 HF 6 en 2020.2.1 HF 2 uitgegeven voor
   het Orion Platform. Tevens is het beveiligingsadvies aangepast en
   voorzien van de laatste informatie, waaronder een lijst van
   producten welke onderdeel zijn van het platform en geraakt zijn door
   de malafide software welke tussen maart en juni verpreid is.

Beschrijving
   SolarWinds meldt actief misbruik van SolarWinds Orion. Door een nog
   onbekende methode is tussen maart en juni 2020 een versie van Orion
   verspreid, waar een Trojan in blijkt te zitten. Het betreft de
   versies 2019.4 HF 5, 2020.2 (zonder hotfix) en 2020.2 HF 1. De
   gemanipuleerde versies worden misbruikt door kwaadwillenden om
   toegang te krijgen tot zeer gerichte doelen. Welke doelen dit
   betreft is door SolarWinds niet publiek bekend gemaakt. Omdat de
   Trojan is verspreid als een bona fide update, is het mogelijk dat de
   kwetsbare versies onbedoeld ook in andere infrastructuren zijn
   ge´mplementeerd dan de kwaadwillenden initieel voor ogen hadden.
   Deze infrastructuren staan daarmee potentieel volledig onder
   controle van kwaadwillenden, indien zij tot compromittatie overgaan.
   De kwaadwillenden zijn dan in staat om willekeurige code uit te
   voeren of toegang te krijgen tot gevoelige gegevens.

   SolarWinds vermeldt dat potentieel 18.000 klanten zijn geraakt en
   deze klanten actief benaderd te hebben.

   SolarWinds heeft een lijst vrijgegeven met producten welke geraakt
   zijn door de Trojan. Het betreft onderstaande lijst indien het
   platform van de kwetsbare versie is:

   Application Centric Monitor (ACM)
   Database Performance Analyzer Integration Module (DPAIM)
   Enterprise Operations Console (EOC)
   High Availability (HA)
   IP Address Manager (IPAM)
   Log Analyzer (LA)
   Network Automation Manager (NAM)
   Network Configuration Manager (NCM)
   Network Operations Manager (NOM)
   Network Performance Monitor (NPM)
   NetFlow Traffic Analyzer (NTA)
   Server & Application Monitor (SAM)
   Server Configuration Monitor (SCM)
   Storage Resource Monitor (SRM)
   User Device Tracker (UDT)
   Virtualization Manager (VMAN)
   VoIP & Network Quality Manager (VNQM)
   Web Performance Monitor (WPM)

   SolarWinds vermeldt expliciet dat overige producten, en
   bovengenoemde producten van eerdere en latere versies, NIET
   kwetsbaar zijn, waarbij zij met name de Database Performance
   Analyzer (DPA) vermelden, om verwarring met de kwetsbare Database
   Performance Analzyzer Integration Module (DPAIM) te voorkomen.

Mogelijke oplossingen
   SolarWinds heeft updates uitgebracht om de kwetsbaarheden te
   verhelpen in 2019.4 HF 6 en 2020.2.1 HF 2. Hierin zijn zowel de
   kwetsbaarheden als additionele beveiligingsfuncties opgenomen.
   SolarWinds vermeldt de mogelijk getroffen klanten actief benaderd te
   hebben.

   Het NCSC adviseert om de updates zo spoedig mogelijk te installeren
   en de mitigerende maatregelen te evalueren, deze waar mogelijk te
   impelementeren en te monitoren op verdacht verkeer. Voor meer
   informatie, handelingsperspectieven en een lijst met getroffen
   (deel)producten, zie:

   https://www.solarwinds.com/securityadvisory

   Mitigerende maatregelen (pdf):
   https://www.solarwinds.com/-/media/solarwinds/swdcv2/landing-pages
      /trust-center/resources
      /secure-configuration-in-the-orion-platform.ashx?rev=32603e0c87d8
      4085b081f99a33fe5f4d&hash=62A998B9753957D82BC0F07005D38368

   FireEye heeft een uitgebreid rapport gepubliceerd en
   detectiemiddelen vrijgegeven op haar GitHub omgeving. Het NCSC
   adviseert om de gepubliceerde indicatoren te gebruiken voor
   monitoring en onderzoek naar mogelijke compromittatie. Zie
   onderstaande hyperlinks voor additionele informatie.

   https://www.fireeye.com/blog/threat-research/2020/12
      /evasive-attacker-leverages-solarwinds-supply-chain-compromises-w
      ith-sunburst-backdoor.html

   https://github.com/fireeye/sunburst_countermeasures


   Het NCSC houdt de ontwikkelingen in de gaten en werkt dit
   beveiligingsadvies bij wanneer nodig.

Hyperlinks
   https://github.com/fireeye/sunburst_countermeasures
   https://www.fireeye.com/blog/threat-research/2020/12
      /evasive-attacker-leverages-solarwinds-supply-chain-compromises-w
      ith-sunburst-backdoor.html

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=ZB2L
-----END PGP SIGNATURE-----