Af Eskil Sørensen, 04/01/21
US Cybersecurity and Infrastructure Security Agency (CISA) har opdateret sin officielle vejledning til håndtering af SolarWinds-angrebet. Det skriver Zdnet.
Af opdateringen, som blev udsendt den 29.12 fremgår det, at alle amerikanske regeringskontorer, der stadig kører SolarWinds Orion-platforme, skal opdatere til den seneste 2020.2.1HF2-version inden udgangen af 2020. Og hvis det ikke kan nås, skal alle Orion-systemer fjernes fra netværket, hvilket også fremgik af CISAs originale vejledning, der blev udstedt den 18. december.
Ny større sårbarhed opdaget
Ifølge Zdnet kommer opdateringen til vejledningen, efter at sikkerhedsforskere har afsløret en ny større sårbarhed i SolarWinds Orion-appen i løbet af juleferien. Sårbarheden gør, at en godkendelse i en Orion-API kan omgås, hvilket gør det muligt for angribere at afvikle fjernkode på Orion-installationer.
Denne sårbarhed har øjensynligt været udnyttet ”in the wild” til at installere Supernova-malware på servere, hvor Orion-platformen er installeret.
Orion-opdatering verificeret af NSA
SolarWinds-angrebet er opstået, fordi hackere brød ind på SolarWinds' interne netværk og ændrede flere versioner af Orion-appen. Det har gjort, at alle opdateringer Orion-app, fra version 2019.4 til 2020.2.1, der blev frigivet mellem marts 2020 og juni 2020, blev inficeret med Sunburst-malwaren (eller Solorigate).
Dette fik SolarWinds til at udgive en Hot Fix-version (2020.2.1HF2) af Orion den 15. december, som bl.a. Center for cybersikkerheds opfordrede danske virksomheder til at installere. Hot Fix’en har NSA i mellemtiden undersøgt og verificeret, at den fjerner den tidligere inficerede, ondsindede kode.
Udover at fjerne den Sunburst-relaterede malware-kode sikrer opdateringen til 2020.2.1HF2, ifølge opfordringen fra CISA, at trusselaktører ikke også kan udnytte nogen anden Orion-relateret fejl.