SolarWinds: ongeveer 18.000 klanten getroffen door backdoor
Bij de aanval op softwareleverancier SolarWinds hebben ongeveer 18.000 klanten officiële updates geïnstalleerd die van een backdoor waren voorzien. Dat heeft het bedrijf aan de Amerikaanse beurswaakhond SEC laten weten.
SolarWinds is aanbieder van het Orion Platform dat uit allerlei producten bestaat voor het monitoren en beheren van it-omgevingen. Aanvallers wisten toegang tot systemen van SolarWinds te krijgen en zo legitieme updates van het Orion Platform van een backdoor te voorzien. De besmette updates werden tussen maart en juni van dit jaar via de servers van SolarWinds aangeboden.
Volgens SolarWinds hebben de aanvallers toegang gekregen tot het Orion 'software build system' en konden zo de backdoor aan de updates toevoegen, die vervolgens bij klanten werden geïnstalleerd. SolarWindows stelt dat het meer dan 300.000 klanten heeft. Daarvan maken er 33.000 gebruik van het Orion Platform. Het aantal Orion-klanten dat de besmette updates ook heeft gedownload "is minder dan 18.000", aldus de verklaring.
Verder meldt SolarWinds dat het werkt met Microsoft Office 365 voor e-mail en productiviteitstools en dat er een niet nader genoemde aanvalsvector is gebruikt voor het compromitteren van e-mails. Daarmee hebben de aanvallers mogelijk ook toegang gekregen tot data van de productiviteitstools. In samenwerking met Microsoft heeft SolarWinds deze inbraak verholpen en wordt er onderzocht of die iets te maken heeft met de aanval op het Orion Platform.
Zodra de backdoor actief was installeerden de aanvallers aanvullende malware, infecteerden andere machines in het netwerk en probeerden data te stelen. SolarWinds heeft al een hotfix voor besmette versies van de software uitgebracht en volgt morgen met een tweede hotfix. Securitybedrijf FireEye, dat vorige week melding maakte van een inbraak op het eigen netwerk, heeft laten weten dat het door middel van de SolarWinds-backdoor werd gecompromitteerd. Ook twee Amerikaanse ministeries zouden slachtoffer zijn geworden.
Maar als de malicious SolarWind updates alleen tussen maart en juni van dit jaar via de SolarWind servers zijn aangeboden, hoe kan het dan dat dit nu pas naar buiten komt? Het heeft de schijn dat SolarWind dit onder de pet heeft proberen te houden. Als dat waar is, is het vrij ernstig. SolarWind kan na juni dan weliswaar hun probleem hebben opgelost, als hackers al bij hun klanten binnen zitten is het te laat, zie de FireEye case.
Ik ben erg benieuwd of mijn beeld dat SolarWind niet over deze hack gecommuniceerd heeft correct is. Dan wordt het aansprakelijkheid aspect ook nog interessant. Als ik FireEye was, zou ik de schade op SolarWind verhalen als die niet gewaarschuwd heeft dat er malicious software in hun updates hebben gezeten. In mijn ogen sprake is er dan sprake van grove nalatigheid.
Blijkbaar veel meer dan twee ministeries:
https://www.destentor.nl/tech/hackers-braken-bij-veel-meer-amerikaanse-ministeries-in-dit-ziet-er-heel-heel-slecht-uit~a853a7c3/
https://www.thegatewaypundit.com/2020/12/breaking-exclusive-owners-solarwinds-related-obama-clintons-china-hong-kong-us-election-process/
In summary, Thoma Brava is one of the owners of SolarWinds and it also is connected to the firms that validate elections for at least half the states in the US.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
