Wat weten we nu wel - en vooral niet - over de SolarWinds-hack?

Waren het de Russen die achter misschien wel de grootste hack van 2020 zitten? En wat willen de aanvallers eigenlijk die de Orion-software hebben geïnfiltreerd? Over de hack op SolarWinds is nog steeds veel onbekend, maar de impact lijkt desondanks groot.

Grote kans dat je tot dit weekend nog nooit had gehoord van het bedrijf SolarWinds. En als je het beveiligingsnieuws niet op de voet volgt zegt de naam je misschien nog steeds niks. Maar toch is het Amerikaanse netwerkbedrijf nu de spil van een van de nu al meest notoire hacks in de geschiedenis. Mogelijk krijgt dat nog een heel lang staartje.

SolarWinds is een relatief klein bedrijf uit de Texaanse stad Austin, maar wel een met veel invloed. SolarWinds maakt software om netwerken te monitoren, en is bij klanten vooral populair omdat het 'een totaaloplossing biedt', zoals dat zo mooi heet. De software kan bijvoorbeeld netwerkverkeer monitoren, maar biedt ook databasemanagement en serverbeheer. Het is daarom vooral populair in bedrijven met grote ict-netwerken. Hoewel SolarWinds veel verschillende softwarepakketten heeft is er een pakket dat het kroonjuweel van het bedrijf is: Orion.

SolarWinds kwam maandagochtend in het nieuws: de Orion-software is gehackt om binnen te dringen in de netwerken van een aantal belangrijke Amerikaanse overheidsinstellingen. De hack lijkt erg geavanceerd te zijn en in het eerste geval op spionage te zijn gericht. Wat weten we er nu precies van?

De eerste berichten over de hack kwamen begin deze week naar buiten via Reuters. Kort daarna stuurde het Amerikaanse Cybersecurity and Infrastructure Agency een zeldzame waarschuwing naar bedrijven over een kwetsbaarheid in Orion-producten. In Nederland verstuurde het Nationaal Cyber Security Centrum dezelfde waarschuwing. SolarWinds plaatste zelf een security advisory. Maar de bal kwam pas echt aan het rollen toen beveiligingsbedrijf FireEye een uitgebreide analyse schreef van de malware. Het bedrijf werd vorige week zelf slachtoffer van een hack, waarvan nu blijkt dat het via Orion gebeurde.

De hack

FireEye beschrijft een geavanceerde aanval waarbij de daders vooral veel aandacht besteden aan het onopgemerkt blijven. De achterdeur wordt geplaatst via een specifieke download die met de update van Orion werd meegeïnstalleerd. SolarWinds.Orion.Core.BusinessLayer is een dll met een signature die rechtstreeks van de Orion-software zelf af komt, zodat het niet gedetecteerd wordt als malware. Die dll, die FireEye SunBurst noemt, legt een http-verbinding naar een externe command-and-control-server. Die malware doet de eerste twee weken niks, maar opent daarna pas de verbinding. Er zijn meerdere van die dll's van een certificaat voorzien; dat gebeurde tussen maart en mei van dit jaar. Daarna werden ze tussen maart en juli in een update voor Orion geïnstalleerd.

NCSC-waarschuwing SolarWinds

De malware legt verbinding naar een subdomein van avsvmcloud.com. Die is inmiddels in bezit van Microsoft, blijkt uit een whois-lookup. Microsoft heeft eerder deze week al aangegeven dat Defender de SolarWinds-hack inmiddels kan detecteren.

De aanvallers gebruiken twee soorten malware als ze eenmaal binnen in het systeem zitten. Dat is een tot voorheen onbekende malware genaamd Teardrop, die een payload binnenhaalt. Die payload is Beacon, een onderdeel van aanvalsimulatiesoftware Cobalt Strike. De aanvallers hebben Beacon aangepast om een brug te openen tussen de c&c-server en de malware zelf.

Volgens FireEye gebruiken de aanvallers verschillende opvallende technieken om onopgemerkt te blijven. Zo gebruikte de malware alleen ip-adressen uit het land waar het slachtoffer zich bevond, en gebruikten ze altijd credentials om door het netwerk te bewegen die anders waren dan de credentials om toegang te krijgen.

Wat kan deze malware?

Solarwinds dashboardDe aard van de Orion-software maakt de hack extra heftig. De tool heeft diepgaande toegang tot een netwerk. Als bedrijven clouddiensten als AWS of Azure gebruiken heeft Orion toegang tot api-sleutels, bij routers en switches kunnen credentials zijn gelekt als die in plaintext stonden opgeslagen - iets dat helaas maar al te vaak voorkomt. Daarvoor waarschuwen ook andere beveiligingsexperts zoals Rob Fuller. Hij zegt wel in een blogpost dat het heel moeilijk is toegang tot die credentials te krijgen omdat SolarWinds veel moeite doet die te obfusceren, te verbergen en te versleutelen. Desondanks zijn er simpele tools beschikbaar die het mogelijk maken die wachtwoorden terug te krijgen.

Daarnaast maakt Orion ook inzichtelijk hoe een netwerkinfrastructuur is opgebouwd en dat maakt het weer mogelijk er doorheen te bewegen. SolarWinds zegt dat de nieuwe update de backdoor sluit, maar erkent dat dat slechts een deel van het probleem oplost. Eenmaal binnen in een netwerk kunnen de aanvallers zich er horizontaal doorheen bewegen en zich daar extra toegang verschaffen, iets dat het bedrijf ook erkent in een faq.

SolarWinds waarschuwt bedrijven ook om goed op verkeer te letten dat vanaf Orion-servers direct het internet op gaat, want dat kan een indicator of compromise zijn. Als de hackers echter vanaf een andere plek in het netwerk een connectie hebben geopend ligt het buiten SolarWinds macht daar iets aan te doen. Het bedrijf waarschuwt in dat geval om aan standaard securitypraktijken te doen zoals event-monitoring en het bekijken van toegangslogs.

Hoe lang was de malware actief?

De hackers konden de backdoor openzetten via patches die tussen maart en juli 2020 werden verstuurd door SolarWinds. Maar een ander beveiligingsbedrijf, Volexity, ontdekte de kwetsbaarheid al eerder. Dat gebeurde in juni en juli van dit jaar, schrijft het in een blogpost. Nog eerder, eind 2019, zouden hackers al zijn binnengedrongen bij een Amerikaanse denktank. Volexity noemt die groep Dark Halo, en zegt dat het om dezelfde groep gaat als die nu SolarWinds heeft gehackt. De groep zou de denktank in drie gevallen hebben aangevallen, en deze zomer zou dat via Orion zijn gebeurd.

De eerdere bevindingen werpen ook meer licht op de modus operandi van de aanvallers. Die wisten bij eerdere hacks bijvoorbeeld tweestapsverificatie van gebruikers te omzeilen. Het ging specifiek om een mfa-oplossing van beveiligingsbedrijf Duo, al zat de kwetsbaarheid niet in de implementatie of software van Duo zelf. De aanvallers vielen Outlook Web App aan, en deden daarvoor eerst een memory dump van de betreffende server. Daar wisten ze een akey van Duo's 2fa te achterhalen.

Volexity zegt dat het in juli van dit jaar zag dat hackers bij een klant binnendrongen via SolarWinds Orion-software. Ook bij die aanval wisten ze dumps te maken van inboxen van specifieke gebruikers in de organisatie.

Dat is de eerste keer dat een bedrijf concreet zegt wat er precies tijdens de aanval werd gedaan. FireEye vertelt vooralsnog alleen dát criminelen zijn binnengedrongen, maar de grote vraag blijft openstaan. Waarom doen de hackers dit? Wat is hun motivatie?

Het is niet de eerste keer dat hackers een supply-chain-aanval uitvoeren. In 2017 infiltreerden Russische staatshackers een Oekraïens boekhoudbedrijf genaamd Intellect Service, dat de software MeDoc maakt. Op die manier wisten de hackers de destructieve ransomware NotPetya te verspreiden.

NotPetya
NotPetya was vooral destructieve malware.

Maar behalve het uitvoeren van een supply-chain-aanval is het nog grotendeels onduidelijk wat de aanvallers precies willen. Gezien de bedrijven en instellingen die op dit moment getroffen zijn lijkt spionage van gevoelige documenten meer voor de hand te liggen dan destructiemalware in te zetten, maar dat is vooralsnog speculatie.

Wie heeft het gedaan?

Waren het wel de Russen? Of toch een ander land of juist een goed georganiseerde criminele bende? Al snel na de hack ging het over de eerste groep, maar ook in dit geval geldt dat het wat gecompliceerder ligt.

Op dit moment zijn de enige aanwijzingen dat Rusland achter de hack zit afkomstig van drie anonieme bronnen van Reuters die als eerste over de hack berichtten. Dat zouden bronnen zijn die bij het onderzoek betrokken waren. De bronnen zeggen tegen Reuters dat in het onderzoek 'geloofd wordt dat Rusland verantwoordelijk is'. Dat is op dit moment dus ook binnen de Amerikaanse overheid geen zekerheid, maar slechts nog de theorie. Ook noemt bijvoorbeeld de Cybersecurity and Infrastructure Security Agency Rusland niet specifiek.

SolarWinds zegt zelf dat het 'geadviseerd is dat de aanval waarschijnlijk door een land is uitgevoerd'. Het is niet bekend waar die melding in de eerste plaats vandaan komt; van FireEye of de Amerikaanse autoriteiten. Voorlopig lijkt de vinger dus alleen vanuit media naar Rusland te wijzen.

FireEye noemt ook geen specifiek land. Het geeft bij de attributie slechts de naam UNC2452 aan de groep, maar die heeft het bedrijf dus zelf verzonnen. De bronnen van Reuters en de Washington Post noemen APT29 als dader. Die groep, die ook wel Cozy Bear wordt genoemd, is gelieerd aan de Russische inlichtingendiensten.

Wie is getroffen?

SolarWinds customersHoewel het bedrijf SolarWinds geen heel bekende naam is is het bedrijf wel invloedrijk. Dat zie je niet alleen aan het aantal klanten, dat SolarWinds op zo'n 300.000 schat - alleen is opvallend genoeg de pagina met klanten verwijderd van de site. Via de Wayback Machine is dat nog wel terug te zien, inclusief een lijst met prominente bedrijven die SolarWinds als klant mocht rekenen. "Meer dan 425" van de 500 invloedrijkste bedrijven uit Amerika, de tien grootste telecomproviders in Amerika, de vijf takken van het Amerikaanse leger, de vijf grootste accountantsbedrijven, honderden universiteiten en hogescholen wereldwijd, NASA en heel veel Amerikaanse overheidsinstellingen.

SolarWinds zegt in een melding aan de Securities and Exchange Commission dat '18.000 klanten kwetsbaar zijn voor de aanval'. Dat betekent dat het aantal klanten is dat nog op de versies zitten die tussen maart en juli zijn uitgebracht.

Een belangrijke nuance is op welke versie van de software de rest van de klanten zit. Het is niet bekend of dat meer recente versies zijn, die volgens SolarWinds niet kwetsbaar zijn, of juist nog oudere versies. Van die laatste is niet bekend dat er een backdoor in zit en dat lijkt op basis van de huidige kennis ook niet aannemelijk, maar het is ook niet uit te sluiten.

Nederland en België

En dan is het natuurlijk nog de grote vraag of de hack ook in Nederland en België heeft plaatsgevonden. Vooralsnog zijn daar geen aanwijzingen voor. Wel zijn er zeker enkele honderden bedrijven in de twee landen die op dit moment nog gebruikmaken van de geïnfecteerde versies van Orion, stelt de grootste Nederlandse SolarWinds-distributeur tegen Tweakers. Dat betekent niet dat ze ook getroffen zijn door de hack zelf. Onder de klanten van het bedrijf bevinden zich veel ziekenhuizen en Nederlandse gemeenten, maar ook Dela, Interpolis en ING.

De hack lijkt zich dan ook voornamelijk nog te richten op Amerikaanse instellingen, en dan specifiek overheden en geen bedrijven. Maar aangezien er nog zoveel onbekend is over de hack blijft het afwachten. En patchen.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 17-12-2020 09:35 65

17-12-2020 • 09:35

65

Lees meer

Microsoft-topman Brad Smith erkent gemaakte fouten rondom beveiliging
Microsoft-topman Brad Smith erkent gemaakte fouten rondom beveiliging Nieuws van 14 juni 2024
'SolarWinds-hack was ruim half jaar eerder bekend bij Amerikaans ministerie'
'SolarWinds-hack was ruim half jaar eerder bekend bij Amerikaans ministerie' Nieuws van 1 mei 2023
FireEye verkoopt e-mail- en netwerkbeveiligingsonderdeel aan investeringsgroep
FireEye verkoopt e-mail- en netwerkbeveiligingsonderdeel aan investeringsgroep Nieuws van 3 juni 2021
Enterprise-wachtwoordmanager Passwordstate is getroffen door supply chain attack
Enterprise-wachtwoordmanager Passwordstate is getroffen door supply chain attack Nieuws van 24 april 2021
Aanvallers plaatsen backdoormogelijkheid in PHP via infectie van Git-server
Aanvallers plaatsen backdoormogelijkheid in PHP via infectie van Git-server Nieuws van 29 maart 2021
Microsoft maakt CodeQL-queries open source om SolarWinds-hacks op te sporen
Microsoft maakt CodeQL-queries open source om SolarWinds-hacks op te sporen Nieuws van 26 februari 2021
SolarWinds-hackers kregen toegang tot deel broncode van drie Microsoftproducten
SolarWinds-hackers kregen toegang tot deel broncode van drie Microsoftproducten Nieuws van 19 februari 2021
Nederlandse Organisatie voor Wetenschappelijk Onderzoek is gehackt
Nederlandse Organisatie voor Wetenschappelijk Onderzoek is gehackt Nieuws van 15 februari 2021
Inlichtingendiensten willen meer hackers en ict-systemen voor tegengaan spionage
Inlichtingendiensten willen meer hackers en ict-systemen voor tegengaan spionage Nieuws van 11 februari 2021
Malwarebytes: SolarWinds-hackers vielen ons ook aan en lazen bedrijfsmails
Malwarebytes: SolarWinds-hackers vielen ons ook aan en lazen bedrijfsmails Nieuws van 19 januari 2021
Symantec vindt vierde malware-soort die tijdens SolarWinds-hack werd gebruikt
Symantec vindt vierde malware-soort die tijdens SolarWinds-hack werd gebruikt Nieuws van 19 januari 2021
Centrale Bank van Nieuw-Zeeland meldt hack
Centrale Bank van Nieuw-Zeeland meldt hack Nieuws van 11 januari 2021
SolarWinds-hackers zaten in mailboxen van Amerikaans ministerie van Justitie
SolarWinds-hackers zaten in mailboxen van Amerikaans ministerie van Justitie Nieuws van 7 januari 2021
NYT: zeker 250 overheidsinstanties en bedrijven getroffen door SolarWinds-hack
NYT: zeker 250 overheidsinstanties en bedrijven getroffen door SolarWinds-hack Nieuws van 3 januari 2021
Microsoft: SolarWinds-hackers hadden toegang tot onze broncode
Microsoft: SolarWinds-hackers hadden toegang tot onze broncode Nieuws van 1 januari 2021
'SolarWinds-hackers probeerden securitybedrijf CrowdStrike binnen te dringen'
'SolarWinds-hackers probeerden securitybedrijf CrowdStrike binnen te dringen' Nieuws van 25 december 2020
Cisco, Belkin, VMware en Intel zijn ook getroffen door SolarWinds-hack
Cisco, Belkin, VMware en Intel zijn ook getroffen door SolarWinds-hack Nieuws van 22 december 2020
Microsoft en veertig klanten zijn getroffen door SolarWinds-hack
Microsoft en veertig klanten zijn getroffen door SolarWinds-hack Nieuws van 18 december 2020
Enkele honderden Nederlandse bedrijven gebruiken kwetsbare SolarWinds-software
Enkele honderden Nederlandse bedrijven gebruiken kwetsbare SolarWinds-software Nieuws van 16 december 2020
Ernstige kwetsbaarheid in SolarWinds-tool Orion wordt actief uitgebuit
Ernstige kwetsbaarheid in SolarWinds-tool Orion wordt actief uitgebuit Nieuws van 14 december 2020
Meer producten en artikelen
Beveiliging en antivirus Orion Hack Hackers SolarWinds Tweakers Plus

Reacties (65)

-Moderatie-faq
65
58
32
6
0
13
Wijzig sortering
Orangelights23 17 december 2020 09:42
Uit mijn netwerk ken ik al vele bedrijven in Nederland, België en Duitsland die SolarWinds Orion hebben draaien, en wel een oude versie. Het NCSC heeft als advies gegeven om het NCSC te informeren wanneer een organisatie een kwetsbare versie heeft draaien, zodat het NCSC hier actief op gaat monitoren.

Edit: Solarwinds Orion toegevoegd. Bedankt @nwagenaar

[Reactie gewijzigd door Orangelights23 op 22 juli 2024 14:20]

nwagenaar @Orangelights2317 december 2020 11:14
Kleine nuance: Solarwinds is het bedrijf en niet het product. Solarwinds heeft erg veel tooling in hun product portefeuille zitten (mede door overnames) dat gebruikt wordt door zowel het MKB, overheid, banken en andere enterprise omgevingen.

Eén van die tools is dus Solarwinds Orion (of eigenlijk het Solarwinds Orion platform) en - voor zover bekend - alleen organisaties die gebruik maken van dit platform zijn dus mogelijk vatbaar voor de gevolgen van de hack bij Solarwinds.

Een bedrijf dat gebruik maakt van producten die niet vallen onder het Solarwinds Orion platform (bijvoorbeeld Solarwinds N-Central, Solarwinds NetPath, etc) of die oudere versies hadden draaien van het Orion Platform van voor de hack lijken - vooralsnog en voor zover bekend - niet getroffen te zijn.
AuteurTijsZonderH Nieuwscoördinator @nwagenaar17 december 2020 11:26
Ik heb er geen cijfers van maar heb het idee dat Orion wel echt dé belangrijkste software van SW is. Heb je er kijk op of organisaties veel gebruik maken van die andere tools dan Orion?
Spykie @TijsZonderH17 december 2020 11:43
Pingdom is onderdeel van SolarWinds
en SpamExperts is ook onderdeel van SolarWinds. Dat wordt door bijna iedereen * gebruikt ;)

* ja ik overdrijf

[Reactie gewijzigd door Spykie op 22 juli 2024 14:20]

supersnathan94 @TijsZonderH17 december 2020 13:03
Zoals Spykie al aangaf is Pingdom ook een van de producten die ze met een overname hebben gekregen. Dit is een veel gebruikte tool voor bedrijven en organisaties die API's aanbieden. Externe monitoring en SLA reporting is daarmee zo makkelijk dat is echt de prijs wel waard.
nwagenaar @TijsZonderH17 december 2020 13:13
Solarwinds heeft ook een actief gebruikte MSP Platform waar bijvoorbeeld N-Central onderdeel van is (zie https://www.solarwindsmsp.com/) welke gebruikt wordt door behoorlijk veel IT-service dienstverleners om (on-premise) servers en werkplekken te kunnen monitoren.

Zowel Solarwinds Orion als Solarwinds MSP zie je in de praktijk veel terug als monitoringtool (wat in feite geen goede beschrijving is omdat beide producten veel meer is) om maar niet te spreken dat Solarwinds behoorlijk veel (online) services/applicaties heeft overgenomen en die in bepaalde manier (zijn) gaan integreren in deze platformen (SpamExperts is een voorbeeld).

Solarwinds Orion is meer toegespitst op Enterprise omgevingen en heeft daarom (uiteraard) veel meer exposure/inzet bij banken, overheden, etc omdat dit vaak niet alleen grote en complexe organisaties zijn, maar ook grote en complexe infrastructuur in beheer hebben waarover ze in control moeten zijn qua compliance op normen (ISO 27001/27002) al dan niet wet- en regelgeving voor alle aspecten in je (virtuele) infrastructuur ongeacht of dit in Nederland of in de US staat.

Een hack middels het Solarwinds Orion platform heeft logisch gezien veel meer consequenties ten opzichte van het Solarwinds MSP platform gezien de soort organisaties die hier gebruik van maken.

[Reactie gewijzigd door nwagenaar op 22 juli 2024 14:20]

TagForce @nwagenaar17 december 2020 11:36
Alleen doet Solarwinds geen directe uitspraken over de vatbaarheid van bijvoorbeeld NCentral (welke wel degelijk dit specifieke DLL bestand gebruikt) voor deze hack, en verwijzen ze enkel door naar de pagina met de FAQ.

Helemaal zeker dat je niet vatbaar bent voor deze hack is het dus niet als je geen Orion gebruikt.
LordPan @TagForce17 december 2020 15:41
Dit klopt niet. Solarwinds heeft wel uitspraken gedaan ivm nCentral (en RMM, een andere vergelijkbare oplossing die ze ook enkele jaren terug opgekocht hebben).

onder het stuk "What products are NOT affected by this security vulnerability?" op de FAQ pagina (https://www.solarwinds.com/securityadvisory/faq) zie je duidelijk dat de modules in nCentral en RMM niet geinfecteerd zijn. Eigenlijk gebruiken zij een oudere DLL van Orion die deze backdoor nog niet in zich had in 2 heel specifiek afgescheiden onderdelen.
jeffreytigch @Orangelights2317 december 2020 12:26
Waar vind je dat advies over het melden terug? Bij NCSC-2020-1021 zie ik daar niks van terug namelijk.
Orangelights23 @jeffreytigch17 december 2020 12:37
Nieuwsbrief van NCSC waar ik op geabonneerd ben dankzij mijn werk, waar zij ook mails met hoge prioriteit tussendoor sturen.
mmniet 17 december 2020 09:49
ik heb er misschien overheen gelezen, maar wat voor soort software levert solarWinds?
Boogie @mmniet17 december 2020 09:59
Allerhande tools om de ICT infra te monitorien, databases, netwerken, VMware omgevingen etc.
Ze hebben onder andere tools van Quest overgenomen en voegen die samen in/tot Orion.

Zelf bekend met Quest Ignite / Solarwinds Database Performance Analyser, mooie tool om achteraf te kunnen zien wie en wat de veroorzaaker was van een verstoring. (bijvoorbeeld een gebruiker die een rapportage zonder filters draait op het drukste moment van de week)
Bulkzooi @Boogie17 december 2020 15:23
Quest Ignite is een consultancy label maar die produceren geen tools. Wellicht wat configuratie van Open Source tools met wat handige rapportages of zo?

Overigens draait Quest Ignite Drupal, een heftig lek platform, met NodeJS, een platform met oneindige mogelijkheden.

dit doet meer denken aan Fin6 en UNC2452, adding SQL querying to AdFind.
Get-AcceptedDomain
Get-CASMailbox
Get-Mailbox
Get-ManagementRoleAssignment
Get-OrganizationConfig
Get-OwaVirtualDirectory
Get-Process
Get-WebServicesVirtualDirectory
New-MailboxExportRequest
Remove-MailboxExportRequest
Set-CASMailbox

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 14:20]

Boogie @Bulkzooi17 december 2020 16:03
Nope, dat is heel wat anders; dit gaat om de Quest die ook van Dell geweest is.
https://www.eweek.com/ent...st-dell-software-division
Blokker_1999
@mmniet17 december 2020 09:53
Orion is een netwerk monitoring tool, eentje die een heel stuk verder gaat dan simpele pings maar ook effectief logs van devices kan lezen om zo een beter beeld te scheppen van bijvoorbeeld welke endpoints op welke manier een verbinding aan het voltrekken zijn. Wordt door operation support en netwerk teams gebruikt om problemen te detecteren als ze gebeuren en direct alerts uit te sturen alsook om bepaalde problemen te troubleshooten.
Verwijderd @mmniet17 december 2020 09:53
Een heleboel. Monitoring, servicedesk, patch management, online backups.

Ze hebben een hoop bedrijven gekocht de afgelopen jaren om meer diensten te kunnen leveren.
himlims_ @Verwijderd17 december 2020 11:20
behoorlijke portofolio - maar ik zie niet wat zij anders/beter doen dan de tools die reeds (opensource)beschikbaar zijn.

maar goed; commercieel met redelijke prijskaartje eraan, denk de manager al snel "het zal wel beter zijn"
ctrl-tab @himlims_18 december 2020 08:24
Ik dacht ook direct aan open source om dit probleem te voorkomen. Maar het ging hier om compiled binaries, daarnaast gebruiken we tegenwoordig ook vaak docker images van de vendor wat het nog minder transparant maakt.

Zelf compilen , zelf de containers bouwen, code audits doen zou grote changes procesmatig moeten kunnen opmerken.
Maar kennen we openssl heartbleed nog? Was gewoon open source ;)

Ik zie overigens in open source land weinig all-in-one suits zoals orion. Ja veel producten kunnen veel maar je komt altijd op een mix van producten uit met veel inconsistente technologieeen en frameworks. Configuratirs die alleen de grootste nerds van the company nog snappen, komt de veiligheid ook niet ten goede. Dat is nou net wat solarwinds pretendeert op te lossen 😜
Verwijderd @himlims_17 december 2020 11:35
Wellicht voor een apart draadje, maar ik zou wel willen horen welke tools er minstens even goed zijn?

Wat Solarwinds aantrekkelijk maakt is dat ze een heel groot pakket in één leveren. Ik heb ook lang niet alle functionaliteiten genoemd in mijn post. Zoveel tegenhangers ken ik niet die dat ook kunnen.
himlims_ @Verwijderd17 december 2020 11:40
heb een linux background, dat OS is als een kaartenhuis/losse onderdelen aan elkaar geknoopt. Denk dat de ELK-stack veel info kan processen en weergeven. voor het managen heb je dan weer andere tool nodig :+ mjah zo werkt dat in linux land. Maar onderaan de streep zie ik functioneel/featureset niet veel afwijken.
AuteurTijsZonderH Nieuwscoördinator @mmniet17 december 2020 09:59
Ik heb dat er inmiddels duidelijker in gezet, excuus.
Poekie McPurrr @mmniet17 december 2020 09:57
Wel apart ja, heel artikel erover maar geen (korte) uitleg wat de software doet.

Is al aangepast :)

[Reactie gewijzigd door Poekie McPurrr op 22 juli 2024 14:20]

janbaarda @mmniet17 december 2020 10:47
Vergelijkbaar met Nagios. Nagios is open broncode.
Skywalker27 @mmniet17 december 2020 11:00
Dameware mini remote is ook van Solarwinds die kennen meer mensen die zich niet met hele grote netwerken bezighouden de tegenhanger van Teamviewer zeg maar kort door de bocht.
RoRoo @Skywalker2717 december 2020 11:56
Oef!! Dat is lang geleden dat ik Dameware hoorde vallen!
CorbataGames @mmniet17 december 2020 11:14
Ik ken ze persoonlijk alleen omdat ze SpamExperts hebben overgenomen.
delphium 17 december 2020 10:50
Wat doe je met je cash als je aan het reizen bent? Je verdeelt het over verschillende plekken, zodat als er iets gebeurd (overval, brand, verlies, enz.), je niet in een klap alles kwijt bent. Dat heet risicospreiding. Om dezelfde reden wedden beleggers nooit op een paard. Ik begrijp dat ook niet goed waarom bedrijven deze "one ring to rule them all-software" permanent geïnstalleerd hebben. Correct me if I'm wrong maar als ik het goed begrijp is Orion vergelijkbaar met bijvoorbeeld New Relic wat je gehele software-stack kan monitoren. Ik heb daar zelf ook wel eens gebruik van gemaakt. Na het ontmaskeren van de problemen echter heel bewust weer snel van de systemen af gehaald.

Zoals @Skit3000 ook al zegt, is het heel erg vreemd dat een aangepast bestand niet is ontdekt. Naast een signature zouden een hash, datum en bestandsgrootte toch ook gecheckt moeten worden? Dat is hoe bijvoorbeeld IDS-software (Snort) werkt. Een hash van elk relevant bestand, gemaakt op een moment dat het systeem in een betrouwbare staat verkeert.
densoN @delphium17 december 2020 11:53
Mijn persoonlijke mening is dat je het aantal applicaties wilt minimaliseren. Om maar een aantal pluspunten te noemen:
- Kleinere attack surface
- Vendormanagement
- Patchmanagement
- Kennisdeling

En als ik in iedere broekzak wat losgeld zou bewaren kan ik je garanderen dat er aan het eind van de dag wat ontbreekt.

[Reactie gewijzigd door densoN op 22 juli 2024 14:20]

Jhojo 17 december 2020 09:58
Ik vind het nog al denigrerend geschreven over Solarwinds. Werk de auteur bij een concurrent?

Solarwinds is echt geen onbekende partij in de IT wereld. Ze leveren naast de Orion lijn ( die dus nu gehackt is ) ook andere softwarediensten. Er wordt door meerdere bedrijven gebruik gemaakt van de remote managing software, die tot nu toe nog als 'Not Affected' is bestempeld, maar de onderzoeken lopen nog.


Wat ik wel heel frappant vond is dat FireEye de backdoor bij toeval tegen kwam in hun eigen onderzoek. Ik heb sterk het vermoeden dat ze een tool in de gehackte kluis hadden om klanten van Solarwinds te infiltreren op deze manier en deze hacktool wordt dus nu actief gebruikt.
Verwijderd @Jhojo17 december 2020 10:02
Ik denk dat het een uitstekende woordkeuze is. Als je geen IT beheerder bent oid is het best aannemelijk dat je niet weet wie Solarwinds is.

De auteur beweert ook helemaal nergens dat Solarwinds een onbekende partij is. Alleen dat op Tweakers er waarschijnlijk een boel mensen zijn die Solarwinds (nog) niet kenden.
Powermage @Verwijderd17 december 2020 10:48
Naja, Solarwinds word beschreven als "SolarWinds is een relatief klein bedrijf uit de Texaanse stad Austin"
Terwijl t wereldwijd 20+ locaties heeft en duizenden medewerkers....

Dus ja, er zit ergens wel een beetje kleinerende toon in voor een beursgenoteerde wereldspeler op gebied van monitoring en beheer.

Dat veel Tweakers publiek het niet zou kennen kent zegt ben ik bang meer over de veranderende doelgroep van Tweakers dan over hoe onbekend Solarwinds is.
ph4ge @Powermage17 december 2020 11:09
Ik had er in ieder geval nog nooit van gehoord, en met ca 3000 medewerker en 1 miljard omzet ben je natuurlijk geen grote jongen in de IT wereld (ook niet bepaald eenpitter in een garagebox natuurlijk).
Chrotenise @Powermage17 december 2020 11:20
Hoewel ik erken dat het kleinerend opgevat kan worden, vat ik het als volgt op: SolarWinds levert tooling aan overheden en Enterprise bedrijven over de hele (Westerse) wereld waarmee de impact van deze hack gigantisch is. Normaliter verwacht je dat een Cisco, McAfee of ander soortgelijk formaat bedrijf aan dit soort instanties levert en daarbij is Solarwinds toch echt >> relatief << klein.

Verder vind ik jouw opmerking over het Tweakers publiek juist kleinerend. Ik volg al vele jaren Tweakers, ben programmeur en heb veel met server deployments en beheer te maken gehad de afgelopen 5 jaar. Ik heb nog nooit van SolarWinds of haar producten gehoord. Dat is mijn inziens logisch: het bedrijf levert beheersoftware die onzichtbaar is voor de eindgebruiker, dus als jij geen beheerder bent bij een Enterprise toko, kende je het waarschijnlijk niet. Gezien het overgrote deel van de IT'ers niet een beheerder zijn bij grote toko's, is het mijn inziens een terechte aanname van de auteur.

[Reactie gewijzigd door Chrotenise op 22 juli 2024 14:20]

dok33 @Chrotenise18 december 2020 08:32
Ik ben wel beheerder bij enterprise toko's(en al ruim 20 jaar), en heb er nog nooit van gehoord tot deze hack... Ik heb sterk het vermoeden dat deze tool vooral speelt in Windows dominante omgevingen, waar ik als Linux engineer nooit mee te maken heb?
kodak
@Jhojo17 december 2020 12:06
Wat is er volgens jou dan denigrerend aan? Want de argumenten die je geeft gaan kennelijk over dat er te weinig nadruk op andere bedrijven zou liggen waar minder over bekend is. Maar dat maakt wat geschreven is nog niet minder waar of zelfs denigrerend. En dat een bedrijf ook andere diensten levert is niet relevant want dat heeft niets te maken met de problemen die ze wel hebben en mede veroorzaken.

Zoals je kan lezen in het artikel en de bronnen is het bedrijf duidelijk een belangrijk onderdeel geweest van het verspreiden en bestaan van het probleem. Niet alleen is duidelijk gemaakt dat het bedrijf meerdere updates onder klanten liet verspreiden waar malware in zat, ze deden dat ook nog eens voor een hele lange tijd (tot afgelopen week). Dat er dan nog onderzoek naar loopt hoe dat heeft kunnen gebeuren is geen reden om het niet te noemen als een belangrijk onderdeel van deze situatie waar waarschijnlijk 300.000 klanten en daar weer de klanten enorme last en schade aan kunnen hebben.

Daarnaast lijkt me dat als je het toch over denigrerend hebben hebt je dan wel wat terughoudender mag zijn in je eigen uitspraken over een ander bedrijf. Wat je namelijk lijkt te doen is zomaar wat roepen zonder het te onderbouwen. Dat je het kennelijk niet leuk lijkt te vinden dat anderen een bepaald bedrijf in een negatief ligt kunnen zetten maakt het nog niet gepast om ongefundeerd wat kan beweren naar de brenger van het nieuws.

Een bedrijf als FireEye of Volexity doen nu eenmaal onderzoek naar mogelijke oorzaken van beveiligingsproblemen waar bijvoorbeeld hun klanten last van hebben. Dan komen ze niet toevallig iets tegen maar omdat ze onderzoek doen. Als jij van mening bent dat bedrijven opzettelijk iets zouden doen om bijvoorbeeld Solarwinds negatief over te laten komen dan vraagt dat om bewijs en niet om zomaar wat beweren. Want anders kan je net zo goed zeggen dat Solarwinds geen zin had om veel geld uit te geven aan het controleren van hun eigen updates en ze het wel prima vonden dat hun systemen gebruikt worden om klanten te infecteren. Een ander bedrijf is niet plotseling slechter dan het bedrijf dat jij leuk vind enkel omdat die iets negatiefs noemen over je geliefde bedrijf. Net zo min als je geliefde bedrijf niet plotseling beter is dan een ander omdat een ander wel bewijs tegen je geliefde bedrijf heeft.

[Reactie gewijzigd door kodak op 22 juli 2024 14:20]

Terrestrial 17 december 2020 10:29
Solarwinds is een vrij bekende naam in de IT wereld al sinds de jaren 2000 zo'n beetje. Wat ik echter nogal kwalijk vind, er moet een moment zijn geweest dat ze geïnfiltreerd zijn geweest en daarna is de code aangepast en verspreid naar klanten. Voor een bedrijf dat monitoring software/oplossingen zou je toch verwachten dat men door heeft wanneer een hack plaats vindt en daarna een volledige audit uitvoert. En dat is duidelijk niet gebeurd.

Een simpel voorbeeld, als je malware op je pc hebt gehad is vaak maar beter om de pc opnieuw in te richten. Amders kun je nooit garanderen dat er niet iets is achter gebleven of een nieuwe backdoor is gecreëerd.
AuteurTijsZonderH Nieuwscoördinator @Terrestrial17 december 2020 10:31
Ik vind ook dat het bedrijf daar nu vrij luchtig over doet. In de FAQ staat bijvoorbeeld alleen maar "Tsja, dit was nu eenmaal een geavanceerde partij dus ja...". Ik snap dat ze op het moment nog wel wat anders aan hun hoofd hebben dan introspectie maar het is desalniettemin best kwalijk.
nwagenaar @TijsZonderH17 december 2020 11:39
Dit is niet de 1e keer dat ze - vanuit mijn opinie - traag reageren; in oktober 2019 is Solarwinds op de hoogte gebracht dat hun RMM-tool (N-Central) kwetsbaar was voor een 0-day exploit waarbij ze dit pas in Januari 2020 hebben opgelost middels een Hotfix omdat toen een Proof-Of-Concept beschikbaar was om de kwetsbaarheid uit te buiten en hier amper informatie beschikbaar hebben gemaakt.
Blokker_1999
@Terrestrial17 december 2020 11:38
Aan de andere kant mag je niet vergeten dat FireEye de hack ook alleen maar ontdekt heeft nadat deze bij hen is gebeurd, en dat is dan een firma die net weer een grote focus heeft op het beveiligen van systemen.
Skit3000 17 december 2020 10:20
Ik ben benieuwd hoe de SolarWinds.Orion.Core.BusinessLayer dll in de codebase terecht is gekomen en onopgemerkt is gebleven binnen de code review workflows van SolarWinds zelf, en daar zelfs nog is voorzien is van een signature.

Offtopic: Voor verdiepingen zoals in dit artikel betaal ik graag.
AtlAntA 17 december 2020 09:55
Misschien lees ik erover heen maar buiten dat SolarWinds een netwerkbedrijf is heb ik geen flauw idee wat het bedrijf nu precies doet voor al die klanten.
rbr320 @AtlAntA17 december 2020 10:08
In de derde alinea van dit artikel staat heel globaal genoemd wat de software die ze leveren allemaal kan en doet. Het komt er in het kort op neer dat het zo'n beetje alles kan op het gebied van het netwerk en logs monitoren om zo problemen snel te detecteren. Voor mij is dat een grote rode vlag en een reden om met een grote boog om deze software heen te lopen.
MiesvanderLippe @rbr32017 december 2020 10:20
Wat? Als bedrijf heb je echt een IDS nodig. Je moet weten wat er op je netwerk gebeurt. Je bent niet onschendbaar. Het is cruciaal dat je zo snel mogelijk zoveel mogelijk inzicht heb in vreemd verkeer.
rbr320 @MiesvanderLippe17 december 2020 10:42
Daar ben ik het mee eens, ik beweer ook nergens het tegendeel. Ik krijg alleen jeuk van software die beweert alles te kunnen in 1 pakket. Vaak draait die software dan ook nog met veel rechten, waardoor er meteen een groot gat ontstaat als er kwetsbaarheden in blijken te zitten. Zoals uit deze hack nu ook blijkt. Ik bouw mijn IDS dan ook liever op uit kleine, losse (open source) componenten waarvan ik nog min of meer kan bevatten wat ze doen en die ik bij problemen kan uitschakelen of vervangen voor iets anders.
Bulkzooi 17 december 2020 14:08
@TijsZonderH Supply chain aanval? Wat is dit voor onzin? Het betreft een packaging en deployment van een dll met een signature richting de klanten van SolarWinds.

As such, the initial access vector into a target environment is the Orion software itself, rather than “traditional” access vectors such as RDP or phishing.

It was either a zero-day in Solar Winds Patch Manager, or the build & toolchain itself was compromised. As for distribution, ancient hack methods like mail and commandline utilities were used.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 14:20]

AuteurTijsZonderH Nieuwscoördinator @Bulkzooi17 december 2020 14:10
Dus in plaats van vijf bedrijven afzonderlijk te hacken pak je een supplier waar alle vijf die bedrijven klant zijn. Dus je valt de supplychain aan.
Bulkzooi @TijsZonderH17 december 2020 14:17
Het is geen logistiek.
Je bedoeld de automatisering omtrent packaging en deployment van die geinfecteerde dll. Ik weet dat FireEye deze terminilogy introduceert, en Volexity en Tweakers deze marketinghype volgen maar het slaat als een tang op een varken.

Dus je breekt in in het netwerk van SolarWinds, en zo distribueren ze malware naar de netwerken van hun klanten. Dus ja, er vind transport plaats maar da's logisch en laat zich niet vergelijken met een supply chain attack omdat het de herdistributie van die dll naar klanten betreft.

De terminology verlegt de nadruk naar de gevolgen van het probleem, de netwerkbreach. Diegene de terminology gebruiken hebben blijkbaar weinig affiniteit met de menselijke kant van deze zaak. Het echte probleem.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 14:20]

AuteurTijsZonderH Nieuwscoördinator @Bulkzooi17 december 2020 14:22
Een supply-chain is toch zeker niet alleen van toepassing op fysieke logistiek? Ook in software is dat een veelgebruikte term.
Bulkzooi @TijsZonderH17 december 2020 14:28
ik denk dat je upstream of downstream en zo bedoeld. Dat betreft vooral de dependencies en het packagen. Het probleem betreft echter het VERSPREIDEN van een geinfecteerde dll's naar klanten van Solarwinds.

Solar Winds Patch Manager is a tool that can package and deploy patches and distribute to signed packages to third-party applications, including the malware that isn't immediately picked up by local agency and gov't-wide monitoring systems (Einstein -- glorified Snort/SourceFire/whatever Cisco/huawei/etc calls it now).
SWPM uses a Windows equivalent for Unix/Linux built-ins like TFTP, DHCP, BOOTP, FTP, etc.

Heeft dus gewoon weg van Beacon, distributie tussen de c&c-server en de malware, via scripting. Nu heet het SunBurst.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 14:20]

Verwijderd 17 december 2020 09:59
Het is niet bekend of dat meer recente versies zijn, die volgens SolarWinds niet kwetsbaar zijn, of juist nog oudere versies.
Aangezien de payload met een update meekwam, kan je aannemen dat deze niet in oudere versies zit. Tenzij ze dit natuulijk eerder hebben gedaan.
falcon186 17 december 2020 10:43
Beetje, off topic maar de keuze rondjes over tevredenheid en het bedrag dat je wil betalen voor dit premium artikel zijn niet goed gelabeld voor een screenreader

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq