Ernstige kwetsbaarheid in SolarWinds-tool Orion wordt actief uitgebuit

Het Amerikaanse cybersecuritycentrum CISA waarschuwt gebruikers van SolarWinds-netwerktools voor een ernstige kwetsbaarheid. Naast de CISA zien ook private securitybedrijven dat bedrijven via dat lek actief worden aangevallen.

De waarschuwing komt van het Amerikaanse Cyber Security and Infrastructure Security Agency of CISA. Dat heeft een emergency directive rondom de Orion Network Management Tools uitgebracht. SolarWinds heeft ook zelf een verklaring uitgegeven waarin het waarschuwt voor de kwetsbaarheid. Het gaat specifiek om versies 2019.4 HF 5 tot en met 2020.2.1 van de Orion-software. Dat zijn versies die tussen maart en juni van dit jaar zijn uitgebracht.

De Orion-software kan worden misbruikt om malware in netwerken te verspreiden. Orion is software om netwerktoegang te beheren en wordt voornamelijk gebruikt door bedrijven met grote netwerkinfrastructuren. Beveiligingsbedrijf FireEye heeft de aanvallen geanalyseerd. Dat bedrijf werd onlangs zelf getroffen door een grootschalige hack, waarbij de hackers ook op die manier binnenkwamen. FireEye zegt dat de hackers onopvallend te werk gaan; ze gebruiken relatief weinig malware om door het netwerk te bewegen en doen veel moeite om onopgemerkt te blijven als ze eenmaal ergens zijn binnengedrongen. Volgens FireEye moeten de hackers bij aanvallen veel handmatige acties uitvoeren en gaat er weinig automatisch. Het is niet duidelijk of het einddoel van de aanvallers spionage is of dat ze bijvoorbeeld meer destructieve malware zoals ransomware willen verspreiden.

De kwetsbaarheid zit specifiek in de certificaatcomponent SolarWinds.Orion.Core.BusinessLayer.dll. Daarmee is het mogelijk een onversleutelde verbinding op te zetten naar externe servers. Dat kan volgens FireEye worden gebruikt om bestanden te stelen of juist uit te voeren, maar ook systeeminstellingen te wijzigen of systemen onklaar te maken. Het bedrijf zegt dat malware op het systeem zich voordoet als legitiem netwerkverkeer en dat het eerst detecteert of er antivirussoftware aanwezig is.

De kwetsbaarheid kwam onlangs aan het licht bij beveiligingsonderzoekers nadat verschillende Amerikaanse ministeries en overheidsinstellingen waren getroffen door een hack. Aanvallers wisten in te breken bij onder andere de ministeries van Financiën en Handel. FireEye zegt in zijn rapport dat niet alleen overheden zijn getroffen, maar dat de hackers ook veel bedrijven hebben aangevallen. Die zouden al in de lente van dit jaar zijn geïnfecteerd. FireEye waarschuwt die bedrijven nu.

Zowel FireEye als de Amerikaanse overheid zegt niet expliciet wie er achter de aanvallen zit. Wel zeggen bronnen tegen Reuters dat het zou gaan om Russische staatshackers. Volgens de Washington Post zou het gaan om APT29, een groep die wordt gelinkt aan de Russische buitenlandse inlichtingendienst. In een post op Facebook ontkent de Russische ambassade de aantijgingen.

SolarWinds zegt dat klanten de software zo snel mogelijk moeten updaten naar de recentste versie. In versie 2020.2.1 HF 1 zou de kwetsbaarheid die wordt uitgebuit, niet meer zitten. Wel komt het bedrijf op dinsdag met nog een extra patch, 2020.2.1 HF 2, waarmee extra beveiligingsmaatregelen zijn doorgevoerd en waarbij de kwetsbare componenten worden vervangen. FireEye heeft zelf een gratis detectietoolkit gepubliceerd.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 14-12-2020 08:2432

14-12-2020 • 08:24

32 Linkedin

Lees meer

FireEye verkoopt e-mail- en netwerkbeveiligingsonderdeel aan investeringsgroep Nieuws van 3 juni 2021
Inlichtingendiensten willen meer hackers en ict-systemen voor tegengaan spionage Nieuws van 11 februari 2021
Malwarebytes: SolarWinds-hackers vielen ons ook aan en lazen bedrijfsmails Nieuws van 19 januari 2021
Symantec vindt vierde malware-soort die tijdens SolarWinds-hack werd gebruikt Nieuws van 19 januari 2021
SolarWinds-hackers zaten in mailboxen van Amerikaans ministerie van Justitie Nieuws van 7 januari 2021
NYT: zeker 250 overheidsinstanties en bedrijven getroffen door SolarWinds-hack Nieuws van 3 januari 2021
Microsoft: SolarWinds-hackers hadden toegang tot onze broncode Nieuws van 1 januari 2021
'SolarWinds-hackers probeerden securitybedrijf CrowdStrike binnen te dringen' Nieuws van 25 december 2020
Cisco, Belkin, VMware en Intel zijn ook getroffen door SolarWinds-hack Nieuws van 22 december 2020
Microsoft en veertig klanten zijn getroffen door SolarWinds-hack Nieuws van 18 december 2020
Wat weten we nu wel - en vooral niet - over de SolarWinds-hack? Nieuws van 17 december 2020
Enkele honderden Nederlandse bedrijven gebruiken kwetsbare SolarWinds-software Nieuws van 16 december 2020
Beveiligingsbedrijf FireEye meldt diefstal van zijn hacktools door staatshackers Nieuws van 9 december 2020
Belgisch leger wil offensieve cyberoperaties kunnen uitvoeren Nieuws van 27 november 2020
Zes Russen aangeklaagd vanwege grootschalige hacks en NotPetya-aanvallen Nieuws van 20 oktober 2020
MIVD waarschuwt voor risico spionage via smartphones tijdens vergaderingen Nieuws van 12 oktober 2020
Microsoft: meeste staatshacks kwamen van Rusland, China, Iran en Noord-Korea Nieuws van 30 september 2020
Nederlandse ddos-doelwitten ontvingen afpersingsmail uit naam van staatshackers Nieuws van 4 september 2020
Meer producten en artikelen
Beveiliging en antivirus Orion Hack Hackers

Reacties (32)

-Moderatie-faq
32
31
19
3
0
8
Wijzig sortering
DefaultError
14 december 2020 09:26
Bron NRC:

Het is Russische hackers gelukt om binnen te komen bij het Amerikaanse ministerie van Financiën en andere overheidsinstellingen, zo schrijft The Washington Post maandag op basis van anonieme overheidsbronnen. De Russische hackgroepen APT29 en Cozy Bear konden met hun hacks e-mailconversaties platleggen. Het is niet bekend of er schade is aangericht. Dezelfde groep hackte eerder het ministerie van Buitenlandse Zaken en de e-mailservers in het Witte Huis, toen Barack Obama nog president was. De hackers zijn gelieerd aan de Russische inlichtingendiensten.

Amerikaanse ambtenaren wijzen in de krant op een langdurige inbreuk op de systemen. De hacks zouden onderdeel uitmaken van een wereldwijde spionageoperatie. De FBI zou een onderzoek zijn gestart naar de operatie. Het cyberbedrijf FireEye, dat zelf ook werd gehackt, - volgens The Washington Post ook door het Russische APT59 - meldt dat de hackers wereldwijd vele veiligheidssystemen hebben weten te kraken. Het zou naast overheidsinstanties onder meer gaan over technologie-, telecom-, olie- en gasbedrijven in Noord-Amerika, Europa, Azië en het Midden-Oosten. Bij FireEye is onder meer software gestolen waarmee bedrijfsnetwerken gehackt kunnen worden.

Zondag meldde FireEye op de eigen website dat de getroffen organisaties gebruik maakten van servers van een netwerkbeheersysteem van de firma SolarWinds. De Russen zouden toegang hebben verkregen tot de producten van Solar Winds. Die worden in 300.000 organisaties wereldwijd gebruikt, onder meer door het Amerikaanse leger, het Pentagon, de ministeries van Buitenlandse Zaken en Justitie en de NASA.
Core2016
@DefaultError14 december 2020 11:02
Dus je mag hier wel volledige teksten van andere sites plakken?
Daar ben ik nog ooit voor op mijn plek gezet.
DefaultError
@Core201614 december 2020 11:34
Met bron vermelding uiteraard, en een aanvulling op de tekst.
Rutger Muller
@DefaultError15 december 2020 03:35
Ik ben effe gaan rondkijken. Ik dacht dit het wettelijk gezien Fair Use zou zijn, vanwege de hoge waarde qua nieuws, actualiteit en educatie. Maar blijkbaar heeft t in NL te maken met:

A) citaatrecht (kort, letterlijk en met bron - "voor het onderwijs of een ander wetenschappelijk doel, alsmede in aankondigingen")
https://nl.m.wikipedia.org/wiki/Citaatrecht

B] een andere uitzondering in de auteursrecht welke stelt dat nieuwsorganen elkaars werk mogen overnemen https://www.iusmentis.com.../persexceptie-auteurswet/

Moeilijk allemaal die toch wat grijze gebieden.

[Reactie gewijzigd door Rutger Muller op 15 december 2020 03:50]

Kip_666
14 december 2020 11:52
In dit geval is het niet voldoende om een update te installeren, er zat malware in de versies 2019.4 tot en met 2020.2.1. De malware maakte automatisch een verbinding naar een command en control server van de aanvallers. Hierdoor konden aanvallers commando's uitvoeren op de servers waarop de software was geïnstalleerd.

Ieder bedrijf die de versies heeft gebruikt doet het slim om een "Incident repsonse" onderzoek te starten.
Henrikop
14 december 2020 09:17
Dit lijkt op de M.E. Doc situatie waarin een leverancier gehackt is een een update tools gaf om ransomware te installeren (wat overigens niet het doel had voor losgeld). Lees de verhalen van NotPetya.

Ook dit lijkt een APT 29 dingetje.

Hier nog een aardig artikel (openen incognito als je paywall melding krijgt):
https://www.nytimes.com/2...nt-treasury-commerce.html

Dit gaat behoorlijk ver... als je de e-mails kan lezen van het instituut dat de grootste geldmachine op aarde aanstuurt....

Zoals Ronald Prins tweet: "Organisaties die niet binnen een uur kunnen vaststellen of ze verkeer naar avsvmcloud[.]com het afgelopen jaar gehad hebben, hebben nog wat werk te doen."

[Reactie gewijzigd door Henrikop op 14 december 2020 09:24]

AuteurTijs Hofmans
@Henrikop14 december 2020 10:04
Ik zie de parallel niet zo, MEdoc was duidelijk een supplychain-aanval om bij andere bedrijven binnen te komen, dit is een kwetsbaarheid in netwerksoftware. Behalve de APT-attributie zie ik niet zoveel overeenkomsten.
_dirkjan
@Tijs Hofmans14 december 2020 10:48
Lezen we dezelfde bronnen? Dit is wel degelijk een supply chain attack, staat zelfs letterlijk zo in de link van SolarWinds en in de blog van FireEye.
AuteurTijs Hofmans
@_dirkjan14 december 2020 10:56
Ja m'n comment is wat onduidelijk. "Een supply-chain-aanval" is geen eenduidig begrip. Bij MEdoc werd bedrijf X gehackt om bij bedrijf Y binnen te komen, bij deze aanval werd bedrijf X gehackt via een kwetsbaarheid in software van bedrijf Y. Beide zijn misschien wel supply-chain-aanvallen maar niet te vergelijken.
whitefox
@Tijs Hofmans14 december 2020 14:05
Solarwinds is gehackt, of in ieder geval de update server is geïnfecteerd. Via de genstalleerde software van Solarwinds zijn ze dan weer verder gekomen bij FireEye, Amerikaanse ministeries en overige bedrijven. Klassieke supply-chain-aanval.
Padje
@Tijs Hofmans14 december 2020 12:01
Dit een kwetsbaarheid in netwerksoftware?

De software staat nog online hXXps://downloads.solarwinds.com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp

https://www.virustotal.co...014afeea12e1b56/detection 1 detectie
btg
@Tijs Hofmans14 december 2020 13:19
Dat is dus precies wat hier aan de hand is:
https://threadreaderapp.com/thread/1338389130951061504.html
Bulkzooi
@Tijs Hofmans16 december 2020 14:47
Een supply chain attack?
Lol, weer een nieuwe marketing term voor de oudste hackmethodiek uit het boek: Zorg dat er geen sporen terug te herleiden zijn. Zelfde principe, gekopieerd van een nog ouder analoog concept.

Dat is logisch; een hacker logt ook liever vanaf een publieke WIFI in dan dat hij dat via zijn eigen Ziggo abbo doet. Maar ja, dan is hij er nog lang niet. Dan moet hij nog zijn hardware spoofen, verkeer encrypten, etc.

[Reactie gewijzigd door Bulkzooi op 16 december 2020 14:48]

Henrikop
@Tijs Hofmans14 december 2020 14:47
Dag Tijs,

Zover ik het begrijp is er code aan SolarWinds toegevoegd door de hackers om zodoende een backdoor te hebben. Deze is automatisch meegekomen met de update van de SolarWinds software.. Dus kwaadaardige code is via een vertrouwde leverancier naar binnen gehaald. Waarschijnlijk ook nog met elevated rechten aangezien niet iedereen software updates mag uitvoeren.

Dit is EXACT wat er is gebeurd met NotPetya. Organisaties zoasl Maersk hadden de software van M.E. Doc voor administratie. Met een update kwam er kwaadaardige software mee die dus van binnenuit de ransomware kon activeren.

Overigens was dat geen ransomware, maar gewoon malware die zoveel mogelijk stuk probeerde te maken.

Dus het recept is hetzelfde.

En het zal me niet verbazen als dit indirect uit eenzelfde koker komt.
Z80
@Henrikop14 december 2020 09:50
Op slashdot ook de nodige info inmiddels te vinden.

https://yro.slashdot.org/...zations-including-the-nsa
Mikke8
14 december 2020 09:20
SolarWinds omschrijft het zelf als volgt in een email richting hun klanten:
We have just been made aware our systems experienced a highly sophisticated, manual supply chain attack on SolarWinds® Orion® Platform software builds for versions 2019.4 through 2020.2.1. We have been advised this attack was likely conducted by an outside nation state and intended to be a narrow, extremely targeted, and manually executed incident, as opposed to a broad, system-wide attack.
ShellGhost
14 december 2020 10:05
Ergens vind ik het onwijs knap dat ze zo'n hack voor elkaar hebben gekregen en zolang niet gedetecteerd zijn. Dit moet maanden van te voren zijn bedacht, zorgvuldig uitgevoerd bij Solarwinds en langzaam verder bedrijven infiltreren.
Anoniem: 428562
14 december 2020 10:53
In november heeft Kevin B. Thompson, CEO van Solarwinds, voor miljoenen aan aandelen verkocht.

https://finance.yahoo.com...sident-ceo-181502379.html
hmmmmmmmmmpffff
14 december 2020 11:56
Hier wat stappen die je kunt uitvoeren mocht je Orion gebruiken:

https://cyber.dhs.gov/ed/21-01/

Gebruik je trouwens de MSP tooling van Solarwinds, dan is er in principe niets aan de hand.
sabedje
14 december 2020 09:18
toch wel ernstig dat zo ene groot lek kan komen in dure enterprise software, ik snap dat er altijd wel foutje in kunnen zitten maar voor zulke software moet het toch wel dicht getimmert zijn lijkt mij
Crisium
14 december 2020 12:44
<aluhoedje>

Was SolarWinds betrokken bij de verkiezingen in de VS?

</aluhoedje>
Misha Engel
14 december 2020 17:17
Zijn wij even gelukkig dat westerse landen nooit hacken (EU, NATO, Five-Eyes, etc..).
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee