Tvrtka SolarWinds prije tjedan dana izvijestila je o sofisticirnom napadu na lanac distribucije na njihovoj platformi Orion.
Prema portalu TheVerge, navedeni proizvod korisi 33. tisuće tvrtki, od čega je 18.000 bilo pod direktnim utjecajem hakerskog napada iza koji je navodno proveden iz Rusije. Zavod za sigurnost informacijskih sustava naveo je kako je SolarWinds objavio sigurnosnu obavijest u kojoj se potvrđuje identifikacija i iskorištavanje ranjivosti na Orion platformi, verzijama od 2019.4 HF 5 do 2020.2.1, objavljenima od ožujka do lipnja 2020.
Tvrtka FireEye je nazvala ovaj zlonamjerni kod SUNBURST te objavila tehnički izvještaj, zajedno s pravilima za prepoznavanje i mitigacijskim mjerama. Temeljem analize tvrtke FireEye, kampanja uključuje tri elementa. Prvi je korištenje zlonamjerne SolarWinds nadogradnje odnosno umetanje zlonamjernog koda u legitimnu programsku nadogradnju za Orion platformu koja napadaču omogućava udaljeni pristup kompromitiranom sustavu Tu su još minimalne modifikacije legitimnog programskog paketa, u svrhu izbjegavanja detekcije od strane obrambenih mehanizama te prikrivanje djelovanja dugotrajnim izviđanjem i prilagodba uobičajenim mrežnim aktivnostima te korištenje alata koje je teško atribuirati.
Inicijalna analiza utjecaja ukazuje da uspješna kompromitacija ciljanog uređaja može dovesti do maksimalno negativnog utjecaja na njegov integritet, te da je rizik za sve povezane sustave visok.
IZ ZSIS-a su istaknuli kako je primarna mitigacijska mjera postavljanje Orion platforme iza vatrozida, onemogućavanje pristupa Internetu Orion platformi i ograničavanje korištenja portova i ostalih konekcija na nužne Iako su prvotne informacije ukazivale da verzija 2020.2.1 nije zahvaćena, posljednja izvješća ukazuju na to da su verzije do i uključivo sa 2020.2.1 HF1 također ranjive. Dostupna je i dodatna brza nadogradnja, 2020.2.1 HF 2.
FireEye pravila prepoznavanja i mitigacijske mjere mogu se pratiti na Githubu, a dodatne informacije dostupne su na stranicama SolarWindsa.