Explotación activa contra SolarWinds Orion Platform

  Equipo Ciberseguridad | 14/12/20 | Alertas, Avisos
Múltiples vulnerabilidades en productos Juniper

Descripción

FireEye ha descubierto un ataque a la cadena de suministro que ha troyanizado las actualizaciones del software empresarial SolarWinds Orion para distribuir un malware tipo backdoor denominado SUNBURST. La campaña, cuyos actores responsables son conocidos como UNC2452, está muy extendida y afecta a organizaciones públicas y privadas de todo el mundo.
El malware enmascara su tráfico de red como el protocolo OIP (Orion Improvement Program) y almacena los resultados del reconocimiento en archivos de configuración de plugins legítimos, lo que le permite ocultarse entre la actividad legítima de SolarWinds. El backdoor utiliza múltiples listas de bloqueo ofuscadas para identificar las herramientas forenses y antivirus que se ejecutan como procesos, servicios y controladores.
La actividad posterior a este compromiso de la cadena de suministro ha incluido movimiento lateral y robo de datos. FireEye está publicando firmas para detectar esta amenaza.

Recursos afectados

SolarWinds Orion Platform, versiones desde 2019.4 HF 5, hasta 2020.2.1, publicadas entre marzo de 2020 y junio de 2020.

Solución

Se recomienda actualizar SolarWinds Orion Platform a la versión 2020.2.1 HF 1 a la mayor brevedad, disponible en SolarWinds Customer Portal, ya que esta vulnerabilidad podría ser explotada de manera activa. Si no puede actualizarse inmediatamente, por favor siga las pautas disponibles aquí para asegurar su instancia de SolarWinds Orion Platform.
Si no está seguro de qué versión de Orion Platform está usando, consulte las instrucciones para comprobarlo aquí. Para comprobar qué hotfixes ha aplicado, consúltelo aquí.
Se prevé que el 15 de diciembre de 2020 se publique una nueva versión del hotfix, 2020.2.1 HF 2. Se recomienda a todos los clientes que actualicen a la versión 2020.2.1 HF 2 una vez que esté disponible, ya que la versión 2020.2.1 HF 2 reemplaza el componente comprometido y proporciona varias mejoras de seguridad adicionales.

Referencias

Secure Configuration for the Orion Platform
Determine which version I have installed
Verify hotfixes

 

Tags
, , ,

Artículos relacionados

 Equipo Ciberseguridad
Múltiples vulnerabilidades en productos de Cisco
CVE-2021-1502 | CVE-2021-1503 | CVE-2021-1526 Descripción Se han reportado 3 vulnerabilidades, todas de severidad alta, que podrían permitir a un atacante ejecutar código arbitrario en el sistema afectado. Las vulnerabilidades...
 Equipo Ciberseguridad
Omisión de autenticación en familias SIMATIC de Siemens
CVE-2020-15782 Descripción Siemens ha publicado una vulnerabilidad de evasión de protección de memoria que podría permitir a un atacante escribir datos y código arbitrario en áreas de memoria protegidas o...
Múltiples vulnerabilidades en productos Juniper
 Equipo Ciberseguridad
[Actualización] Múltiples vulnerabilidades en productos HPE
CVE-2020-7200 | CVE-2020-7203 Descripción Se han identificado dos vulnerabilidades en productos HPE de ejecución remota de código. CVE-2020-7200: Esta vulnerabilidad afecta a Systems Insight Manager (SIM) versión 7.6. La vulnerabilidad...