image

SolarWinds controleert alle software op aanwezigheid backdoor

woensdag 16 december 2020, 16:27 door Redactie, 5 reacties

Softwarebedrijf SolarWinds heeft alle softwareproducten die het aanbiedt naar eigen zeggen gecontroleerd op de backdoor die aanwezig was in updates voor het Orion Platform. Uit dat onderzoek blijkt dat er geen andere programma's zijn gecompromitteerd. Verder heeft het bedrijf alle besmette versies van de software die werden aangeboden offline gehaald.

SolarWinds heeft 300.000 klanten. 33.000 daarvan maken gebruik van het Orion Platform, waarmee organisaties hun it-omgeving kunnen beheren en monitoren. Tussen maart en juni van dit jaar wisten aanvallers meerdere digitaal gesigneerde updates van het platform van een backdoor te voorzien. Volgens SolarWinds kregen de aanvallers toegang tot het Orion 'software build system' en konden zo de backdoor aan de updates toevoegen.

Hoe de aanvallers hierin zijn geslaagd is nog altijd niet bekendgemaakt. "Deze aanval was zeer complex en geraffineerd. De kwetsbaarheid was gemaakt om niet te worden opgemerkt en alleen te draaien wanneer detectie onwaarschijnlijk was", aldus een verklaring van SolarWinds. Het bedrijf spreekt structureel over een "kwetsbaarheid" in plaats van een door aanvallers aangebrachte backdoor.

Van de 33.000 Orion-klanten installeerden er 18.000 de besmette updates. Eenmaal actief maakt de backdoor verbinding met een domein van de aanvallers en kan aanvullende malware installeren. De Amerikaanse ministeries van Handel, Homeland Security en Landbouw hebben in het openbaar bekend getroffen te zijn. Het werkelijke aantal slachtoffers ligt waarschijnlijk veel hoger.

Naar aanleiding van de aanval heeft SolarWinds het certificaat voor het signeren van code vervangen en is de toegang tot de build-omgeving beperkt.

Reacties (5)
16-12-2020, 18:52 door Anoniem
Ik mag hopen dat alle klanten per direct alle Solarwinds producten verwijderd hebben van hun netwerk, en gezamelijk een rechtzaak tegen deze toko starten
16-12-2020, 19:27 door Anoniem
A security expert reportedly warned SolarWinds in 2019 that anyone could access the company's update server with the password 'solarwinds123'

https://www.businessinsider.com/solarwinds-warned-weak-123-password-could-expose-firm-report-2020-12?international=true&r=US&IR=T
16-12-2020, 19:28 door Anoniem
"Deze aanval was zeer complex en geraffineerd" aldus Solarwinds.


solarwinds123 als wachtwoord van de update server is zeer complex ja.
17-12-2020, 11:49 door Anoniem
Door Anoniem: Ik mag hopen dat alle klanten per direct alle Solarwinds producten verwijderd hebben van hun netwerk, en gezamelijk een rechtzaak tegen deze toko starten
Uw aannames zijn hierin nogal naief, vrees ik.
17-12-2020, 18:52 door Anoniem
Door Anoniem:
Door Anoniem: Ik mag hopen dat alle klanten per direct alle Solarwinds producten verwijderd hebben van hun netwerk, en gezamelijk een rechtzaak tegen deze toko starten
Uw aannames zijn hierin nogal naief, vrees ik.
Check, als je al het beheer rond zo'n pakket hebt ingericht, kan je niet 'per direct' alle producten verwijderen. Maar schadeclaims richting SolarWinds zie ik nog wel komen. Er druppelt steeds meer bewijs naar buiten dat SolarWinds al veel eerder van de hack op de hoogte was en dat ze dit onder het tapijt hebben willen vegen.

Daarnaast zijn er sterke aanwijzingen voor handel met voorkennis. Louche figuren dus....
https://www.washingtonpost.com/technology/2020/12/15/solarwinds-russia-breach-stock-trades/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.