Af Eskil Sørensen, 16/12/20
Sårbarheden hos SolarWinds er ikke kun et amerikansk fænomen. Mandag kunne Politiken fortælle, at to store danske virksomheder skulle være blevet påvirket af SolarWinds-sårbarheden, og sidenhen har bl.a. Dansk Industri været på banen med opfordringer til danske virksomheder om at tjekke deres version af SolarWinds Orion-platform. Andre medier som JyllandsPosten, Børsen og Berlingske har i dag opfølgende historier om hacket.
Eftersom sårbarheden har været til stede siden marts 2020, er der risiko for, at danske virksomheder allerede er blevet kompromitteret.
SolarWinds har efter sigende 300.000 kunder, hvoraf 18.000 ifølge en artikel i SecurityWeek skulle have brugt de kompromitterede produkter. Det fremgår ikke, hvor i verden disse kunder er.
Hotfix 2 lagt ud
Center for cybersikkerheds situationscenter, der netop her i december er blevet døgnbemandet, har i et tweet opfordret danske virksomheder til at opdatere til den hotfix release 2020.2.1 HF 2, som SolarWinds udgav i går den 15.12. Endvidere skriver situationscenteret, at man skal kontakte CFCS ved mistanke om kompromittering.
Parallelt med opfordringen fra CFCS har DKCERT skrevet til kontaktpersoner ved forskningsnettet om at kontakte DKCERT, hvis man anvender Orion version 2019.4 til 2020.2.1 HF1, men ikke har været kompromitteret. Tidligere versioner af Orion platformen end de nævnte, kan også være inficeret.
Generelt er det ikke klart, om patching vil kunne imødegå sårbarheden, hvorfor det anbefales at geninstallere systemet, hvis det har været inficeret.
Microsoft blokerer
Usikkerheden om status på sårbarheden har ifølge Computerworld fået Microsoft i et bloganlæg til at anbefale kunderne at anse "..enhver enhed den pågældende udgave af Orion som kompromitteret, og derfor bør enhederne isoleres øjeblikkeligt." Af den grund har Microsoft med sit antivirus-program Defender valgt at blokere for visse udgaver af Orion-softwaren.
DKCERT anbefaler
DKCERT anbefaler, at man kontroller sine logs regelmæssigt og sikrer, at FW, IDS og IPS er opdateret. Hvorvidt flere systemer i netværket vil kunne være inficeret, kan man ikke være sikker på, før der foreligger en gennemgående undersøgelse af SolarWinds Orion.
SolarWinds Orion kan have credentials til Domain Admin, Cisco/Router/SW root/enable creds, ESXi/vCenter Credentials, AWS/Azure/Cloud root API keys.
Derfor gælder følgende anbefalinger
- Skift adgangskoder på de servicekonti, som er i brug af SolarWinds Orion
- Skift adgangskoder på de konti, som tilgår SolarWinds Orion webkonsollen samt server
- Skift adgangskoder på de lokale administratorkonti, som er defineret på SolarWinds Orion serveren.
- Skift adgangskoder på alle konti, som har ”Domain admin” rettigheder
Updatering:
Center for cybersikkerhed har den 18. december udsendt et varsel om SolarWinds' kompromittering med anvisninger på afdækning af en evt. kompromittering.
https://cfcs.dk/da/handelser/varsler/varsel-om-solarwinds-kompromittering/
Links:
https://twitter.com/CFCSsitcen/status/1339066002345226243
Bag betalingsvæg:
https://www.berlingske.dk/virksomheder/advarsel-til-danske-virksomheder-og-myndigheder-om-kaempe