image

SolarWinds: ongeveer 18.000 klanten getroffen door backdoor

maandag 14 december 2020, 22:51 door Redactie, 7 reacties

Bij de aanval op softwareleverancier SolarWinds hebben ongeveer 18.000 klanten officiële updates geïnstalleerd die van een backdoor waren voorzien. Dat heeft het bedrijf aan de Amerikaanse beurswaakhond SEC laten weten.

SolarWinds is aanbieder van het Orion Platform dat uit allerlei producten bestaat voor het monitoren en beheren van it-omgevingen. Aanvallers wisten toegang tot systemen van SolarWinds te krijgen en zo legitieme updates van het Orion Platform van een backdoor te voorzien. De besmette updates werden tussen maart en juni van dit jaar via de servers van SolarWinds aangeboden.

Volgens SolarWinds hebben de aanvallers toegang gekregen tot het Orion 'software build system' en konden zo de backdoor aan de updates toevoegen, die vervolgens bij klanten werden geïnstalleerd. SolarWindows stelt dat het meer dan 300.000 klanten heeft. Daarvan maken er 33.000 gebruik van het Orion Platform. Het aantal Orion-klanten dat de besmette updates ook heeft gedownload "is minder dan 18.000", aldus de verklaring.

Verder meldt SolarWinds dat het werkt met Microsoft Office 365 voor e-mail en productiviteitstools en dat er een niet nader genoemde aanvalsvector is gebruikt voor het compromitteren van e-mails. Daarmee hebben de aanvallers mogelijk ook toegang gekregen tot data van de productiviteitstools. In samenwerking met Microsoft heeft SolarWinds deze inbraak verholpen en wordt er onderzocht of die iets te maken heeft met de aanval op het Orion Platform.

Zodra de backdoor actief was installeerden de aanvallers aanvullende malware, infecteerden andere machines in het netwerk en probeerden data te stelen. SolarWinds heeft al een hotfix voor besmette versies van de software uitgebracht en volgt morgen met een tweede hotfix. Securitybedrijf FireEye, dat vorige week melding maakte van een inbraak op het eigen netwerk, heeft laten weten dat het door middel van de SolarWinds-backdoor werd gecompromitteerd. Ook twee Amerikaanse ministeries zouden slachtoffer zijn geworden.

Reacties (7)
15-12-2020, 07:51 door Anoniem
ouch..
15-12-2020, 08:23 door Anoniem
Goed dat FireEye hier zo transparant over is.

Maar als de malicious SolarWind updates alleen tussen maart en juni van dit jaar via de SolarWind servers zijn aangeboden, hoe kan het dan dat dit nu pas naar buiten komt? Het heeft de schijn dat SolarWind dit onder de pet heeft proberen te houden. Als dat waar is, is het vrij ernstig. SolarWind kan na juni dan weliswaar hun probleem hebben opgelost, als hackers al bij hun klanten binnen zitten is het te laat, zie de FireEye case.

Ik ben erg benieuwd of mijn beeld dat SolarWind niet over deze hack gecommuniceerd heeft correct is. Dan wordt het aansprakelijkheid aspect ook nog interessant. Als ik FireEye was, zou ik de schade op SolarWind verhalen als die niet gewaarschuwd heeft dat er malicious software in hun updates hebben gezeten. In mijn ogen sprake is er dan sprake van grove nalatigheid.
15-12-2020, 13:03 door bollie - Bijgewerkt: 15-12-2020, 13:04
reactie verwijderd
15-12-2020, 13:06 door Briolet
Ook twee Amerikaanse ministeries zouden slachtoffer zijn geworden.

Blijkbaar veel meer dan twee ministeries:

https://www.destentor.nl/tech/hackers-braken-bij-veel-meer-amerikaanse-ministeries-in-dit-ziet-er-heel-heel-slecht-uit~a853a7c3/
16-12-2020, 01:49 door Eric-Jan H te D
Zou het niet zo kunnen zijn dat een al aanwezige backdoor (voor de NSA) eenvoudig werd omgebogen naar een adres van de aanvallers waardoor de hack nauwelijks opviel.
16-12-2020, 21:03 door Anoniem
Dit heeft alles met de Amerikaanse verkiezingen te maken.

https://www.thegatewaypundit.com/2020/12/breaking-exclusive-owners-solarwinds-related-obama-clintons-china-hong-kong-us-election-process/

In summary, Thoma Brava is one of the owners of SolarWinds and it also is connected to the firms that validate elections for at least half the states in the US.
17-12-2020, 13:07 door Anoniem
Door Eric-Jan H te D: Zou het niet zo kunnen zijn dat een al aanwezige backdoor (voor de NSA) eenvoudig werd omgebogen naar een adres van de aanvallers waardoor de hack nauwelijks opviel.
Ik denk vooral dit inderdaad.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.