SolarWinds, поставщик программного обеспечения для корпоративного мониторинга, который оказался в эпицентре наиболее серьезных атак на цепочку поставок, заявил, что до 18 000 его высокопоставленных клиентов могли установить испорченную версию его продуктов Orion.
Подтверждение является частью новой заявки, поданной компанией в Комиссию по ценным бумагам и биржам США в понедельник.
Компания из Техаса обслуживает более 300 000 клиентов по всему миру, включая все подразделения вооруженных сил США и четыре пятых компаний из списка Fortune 500.
«Инцидент, вероятно, был результатом очень сложной, целенаправленной и ручной атаки на цепочку поставок со стороны внешнего национального государства», - говорится в сообщении SolarWinds, добавляя, что «в настоящее время фактическое количество клиентов, которые могли установить систему, Продуктов Orion, содержащих эту уязвимость, должно быть менее 18 000 ».
Компания также подтвердила в своем сообщении по безопасности, что кроме версий SolarWinds Orion Platform 2019.4 HF 5 и 2020.2, никакие другие версии программного обеспечения для мониторинга или другие продукты, отличные от Orion, не были затронуты уязвимостью.
Конкретные сведения о том, как хакеры проникли в собственную сеть SolarWinds, все еще неясны, но компания отметила в своей документации, что была предупреждена о компрометации ее учетных записей электронной почты и офисных приложений Microsoft Office 365, которые в настоящее время исследуются, чтобы определить, как долго она существует и существует ли слабость была «связана с атакой на ее систему сборки программного обеспечения Orion».
К сожалению, согласно отчету исследователя в области безопасности Винота Кумара, также выяснилось, что из общедоступного репозитория SolarWinds GitHub происходила утечка учетных данных FTP для домена «downloads.solarwinds.com», что позволяло злоумышленнику потенциально загрузить вредоносный исполняемый файл, замаскированный под Обновления программного обеспечения Orion на портале загрузок. Хуже того, FTP-сервер был защищен банальным паролем.
После того, как в прошлом году Кумар сообщил об ответственной информации, компания исправила неправильную конфигурацию 22 ноября 2019 года.
Разработка происходит на следующий день после того, как компания FireEye, занимающаяся кибербезопасностью, заявила, что выявила девятимесячную глобальную кампанию по вторжению, нацеленную на государственные и частные организации, которые вводят вредоносный код в легитимные обновления программного обеспечения для программного обеспечения Orion компании SolarWinds, чтобы проникнуть в сети компаний и установить бэкдор. называется SUNBURST ("SolarWinds.Orion.Core.BusinessLayer.dll").
«Вредоносная DLL обращается к удаленной сетевой инфраструктуре, используя домены avsvmcloud.com., Чтобы подготовить возможные полезные нагрузки второго уровня, продвинуться в организации и скомпрометировать или украсть данные», - говорится в отчете Microsoft.
Агентство Рейтер сообщило вчера, что были взломаны Министерство внутренней безопасности США, а также министерство торговли и казначейства. Шпионская кампания также включала кибератаку 8 декабря на FireEye, хотя не сразу понятно, было ли вторжение и утечка прямым результатом мошеннического обновления SolarWinds.
«Кампания демонстрирует высококлассные операционные навыки и ресурсы, соответствующие действиям спонсируемых государством субъектов угроз», - сказал генеральный директор FireEye Кевин Мандиа. «Эти компромиссы не распространяются сами по себе; каждая из атак требует тщательного планирования и ручного взаимодействия».
Хотя последствия, вызванные хакерской кампанией, до сих пор неизвестны, пальцы указывали на APT29, хакерский коллектив, связанный с российской внешней разведкой. FireEye, отслеживающий кампанию как UNC2452, не связывает атаку с Россией.
Со своей стороны, SolarWinds, как ожидается, выпустит сегодня второе исправление, которое заменит уязвимый компонент и добавит несколько дополнительных улучшений безопасности.
«Кампания SUNBURST представляет собой уникальное тревожное событие вторжения, имеющее последствия для нескольких отраслей и сетевых операторов», - сказал Джо Словик, старший исследователь безопасности компании DomainTools.
"Повсеместное распространение SolarWinds в больших сетях в сочетании с потенциально долгим временем существования вторжений, чему способствует этот компромисс, означает, что жертвам этой кампании необходимо не только восстановить свой экземпляр SolarWinds, но и, возможно, потребуется выполнить массовый сброс паролей, восстановление устройств и т. Д. восстановительные работы для полного выселения злоумышленника ".
«Благодаря непрерывному мониторингу сетевого трафика и пониманию того, какие хосты обмениваются данными, защитники могут использовать слабые места и зависимости злоумышленников для преодоления этих устрашающих проблем», - добавил он.
Подтверждение является частью новой заявки, поданной компанией в Комиссию по ценным бумагам и биржам США в понедельник.
Компания из Техаса обслуживает более 300 000 клиентов по всему миру, включая все подразделения вооруженных сил США и четыре пятых компаний из списка Fortune 500.
«Инцидент, вероятно, был результатом очень сложной, целенаправленной и ручной атаки на цепочку поставок со стороны внешнего национального государства», - говорится в сообщении SolarWinds, добавляя, что «в настоящее время фактическое количество клиентов, которые могли установить систему, Продуктов Orion, содержащих эту уязвимость, должно быть менее 18 000 ».
Компания также подтвердила в своем сообщении по безопасности, что кроме версий SolarWinds Orion Platform 2019.4 HF 5 и 2020.2, никакие другие версии программного обеспечения для мониторинга или другие продукты, отличные от Orion, не были затронуты уязвимостью.
Конкретные сведения о том, как хакеры проникли в собственную сеть SolarWinds, все еще неясны, но компания отметила в своей документации, что была предупреждена о компрометации ее учетных записей электронной почты и офисных приложений Microsoft Office 365, которые в настоящее время исследуются, чтобы определить, как долго она существует и существует ли слабость была «связана с атакой на ее систему сборки программного обеспечения Orion».
К сожалению, согласно отчету исследователя в области безопасности Винота Кумара, также выяснилось, что из общедоступного репозитория SolarWinds GitHub происходила утечка учетных данных FTP для домена «downloads.solarwinds.com», что позволяло злоумышленнику потенциально загрузить вредоносный исполняемый файл, замаскированный под Обновления программного обеспечения Orion на портале загрузок. Хуже того, FTP-сервер был защищен банальным паролем.
После того, как в прошлом году Кумар сообщил об ответственной информации, компания исправила неправильную конфигурацию 22 ноября 2019 года.
Разработка происходит на следующий день после того, как компания FireEye, занимающаяся кибербезопасностью, заявила, что выявила девятимесячную глобальную кампанию по вторжению, нацеленную на государственные и частные организации, которые вводят вредоносный код в легитимные обновления программного обеспечения для программного обеспечения Orion компании SolarWinds, чтобы проникнуть в сети компаний и установить бэкдор. называется SUNBURST ("SolarWinds.Orion.Core.BusinessLayer.dll").
«Вредоносная DLL обращается к удаленной сетевой инфраструктуре, используя домены avsvmcloud.com., Чтобы подготовить возможные полезные нагрузки второго уровня, продвинуться в организации и скомпрометировать или украсть данные», - говорится в отчете Microsoft.
Агентство Рейтер сообщило вчера, что были взломаны Министерство внутренней безопасности США, а также министерство торговли и казначейства. Шпионская кампания также включала кибератаку 8 декабря на FireEye, хотя не сразу понятно, было ли вторжение и утечка прямым результатом мошеннического обновления SolarWinds.
«Кампания демонстрирует высококлассные операционные навыки и ресурсы, соответствующие действиям спонсируемых государством субъектов угроз», - сказал генеральный директор FireEye Кевин Мандиа. «Эти компромиссы не распространяются сами по себе; каждая из атак требует тщательного планирования и ручного взаимодействия».
Хотя последствия, вызванные хакерской кампанией, до сих пор неизвестны, пальцы указывали на APT29, хакерский коллектив, связанный с российской внешней разведкой. FireEye, отслеживающий кампанию как UNC2452, не связывает атаку с Россией.
Со своей стороны, SolarWinds, как ожидается, выпустит сегодня второе исправление, которое заменит уязвимый компонент и добавит несколько дополнительных улучшений безопасности.
«Кампания SUNBURST представляет собой уникальное тревожное событие вторжения, имеющее последствия для нескольких отраслей и сетевых операторов», - сказал Джо Словик, старший исследователь безопасности компании DomainTools.
"Повсеместное распространение SolarWinds в больших сетях в сочетании с потенциально долгим временем существования вторжений, чему способствует этот компромисс, означает, что жертвам этой кампании необходимо не только восстановить свой экземпляр SolarWinds, но и, возможно, потребуется выполнить массовый сброс паролей, восстановление устройств и т. Д. восстановительные работы для полного выселения злоумышленника ".
«Благодаря непрерывному мониторингу сетевого трафика и пониманию того, какие хосты обмениваются данными, защитники могут использовать слабые места и зависимости злоумышленников для преодоления этих устрашающих проблем», - добавил он.