Bakdörr i SolarWinds Orion - uppdatera snarast möjligt

En bakdörr i nätövervakningslösningen SolarWinds Orion utnyttjas aktivt. Den möjliggör fjärrkörning av kod på servrar som kör sårbara versioner av Orion [1, 2].

Rekommendationen från SolarWinds är att isolera systemen omgående. Den 15 december släpptes en större patch. Solarwinds har publicerat en FAQ med råd gällande hur påverkade organisationer kan gå tillväga utreda och säkra sin it-miljö [3]. Se även på CISA:s webbplats för mer information [4, 5].

Problemet med Orion består i att en angripare har lagt till trojaner i mjukvaruuppdateringar från SolarWinds. Det gäller mjukvara som har signerats under perioden mars till maj 2020. Om sådana uppdateringar installerats i er miljö under den här perioden är er organisation drabbad. [6]

Påverkade produkter

Sårbarheten påverkar följande produkter:

SolarWinds Orion (versionerna 2019.4-2020.2.1)

Uppdatering 2020-12-16

SolarWinds har nu publicerat en andra hotfix för att åtgärda den kritiska sårbarheten i Orion som utnyttjats för att sprida skadlig kod. SolarWinds rekommenderar användare att omedelbart uppdatera Orion till version 2020.2.1 HF 2 för att säkra sina miljöer. [1]

Den skadliga koden, som fått namnet SUNBURST (samt även Solarigate) påverkar Orion-versioner som är släppta mellan mars och juni i år (versionerna versions 2019.4 till 2020.2.1). Enligt SolarWinds är det endast Orion som är påverkat av sårbarheten, inte gratisverktygen RMM och N-central.

Vidare så har Microsoft tagit kontrollen över den främsta domänen (avsvmcloud[.]com) som använts för att kommunicera med osäkra system [1].

Uppdatering 2020-12-19

Några intressanta källor till vad drabbade organisationer kan göra i sin hantering har tillkommit.

• TrustedSec har publicerat en lista över föreslagna tekniska åtgärder i incidenthanteringens olika faser [9]
• Microsoft Threat Intelligence Center har publicerat en analys av den skadliga koden i uppdateringar av Orion, hur bakdörren använts i intrång och vad angriparen oftast gör. De tipsar om hur MS Defender for Endpoint respektive MS 365 Defender kan användas för att upptäcka olika delar av intrånget [10].
• CISA har uppdaterat sin beskrivning av problemet, rekommendationer och publicerat en STIX-fil med IoC:er [11]

Uppdatering 2020-12-22

CERT-SE har analyserat delar av den skadliga koden som planterats i Orion och funnit att infektionen använder sig av några särskilda user-agents, som kan utgöra ett fingerprint för att spåra kommunikation. Nedanstående analys kan vara till hjälp för forensisk utredning av er it-miljö.

Innan infektionen görs så kollas flera saker, vilket nät den är kopplat på, om en lång lista med program är aktiva samt om den är på ett internt system. Om alla villkor är uppfyllda väntar koden (sleep) ett slumpmässigt antal timmar mellan 288 till 336.

Därefter aktiveras den vilket bland annat innebär att anropa kontrollserver. För att kommunicera med kontrollservern använder den sig av en särskild user-agent.

Nedan är den del av koden där CERT-SE har identifierat hur just denna user-agent byggs ihop, varför det kan vara ett effektivt sätt att spåra om en infektion aktivt kommunicerar mot dåligheter.

Följande tolkning har gjorts vid analys:

Om det är en PUT eller GET-förfrågan
  tom user-agent
Om det är en POST-förfrågan
  user-agent = Microsoft-CryptoAPI + OSVersion
Om det skickas en tom sträng till funktionen
  user-agent = SolarWindsOrionImprovementClient + Versionen avSolarWinds.OrionImprovement.exe
Om den inte lyckas hitta SolarWinds.OrionImprovement.exe
  user-agent =  SolarWindsOrionImprovementClient/3.0.0.382

De som har installerat uppdateringen bör söka i loggarna från tolv dagar efter installation, se över de user-agents Microsoft-CryptoAPI och/eller SolarWindsOrionImprovementClient som pratat mot URL:er eller ip-adresser som inte tillhör SolarWinds eller Microsoft. Detta kommer ge träffar på händelser i nätverket, hur länge och omfattning.

Referenskod ('3.0.0.382' är deobfuskerat kod) 

private string GetUserAgent() {
    if (this.requestMethod ==
OrionImprovementBusinessLayer.HttpOipMethods.Put || this.requestMethod
   == OrionImprovementBusinessLayer.HttpOipMethods.Get) {
    return null;
    }
    if (this.requestMethod ==
OrionImprovementBusinessLayer.HttpOipMethods.Post) {
        if
(string.IsNullOrEmpty(OrionImprovementBusinessLayer.userAgentDefault)) {
        Microsoft-CryptoAPI + GetOSVersion;
        }
        return OrionImprovementBusinessLayer.userAgentDefault;
    }
    if
(string.IsNullOrEmpty(OrionImprovementBusinessLayer.userAgentOrionImprovementClient))
{
        OrionImprovementBusinessLayer.userAgentOrionImprovementClient =
SolarWindsOrionImprovementClient/;
        try {
                Versionen av SolarWinds.OrionImprovement.exe
        } catch (Exception) {

OrionImprovementBusinessLayer.userAgentOrionImprovementClient += 3.0.0.382;
        }
    }
    return OrionImprovementBusinessLayer.userAgentOrionImprovementClient;
}

Uppdatering 2020-12-29

Solarwinds har uppdaterat sina råd gällande ytterligare sårbarhet i plattformen Orion (SUPERNOVA).[1]

Artikeln kommer att uppdateras när mer information finns tillgänglig.

Rekommendationer

CERT-SE rekommenderar att i första hand att isolera SolarWinds Orion-produkter omgående, och sedan uppdatera påverkade produkter snarast möjligt till version 2020.2.1 HF 2 respektive version 2019.4 HF 6 [1].

Vidare bör en forensisk undersökning inledas i syfte att “städa upp” organisationens it-miljö. Undersök om publicerade ip-adresser och domäner samt indikatorhashar finns i organisationens nätverk [7,8].

Steg som måste tas för att säkra er it-miljö är:

1. Ta forensisk kopia av alla maskiner som kör Orion.
2. Samla, spara och analysera nätverks- och logginformation.
3. Se till att alla operativsystem som kör installationer av Orion är bortkopplade från nätverket eller avstängda. 
4. Sök upp och städa bort alla falska konton och andra fotfästen i era system.
5. Betrakta *alla* maskiner och komponenter som har övervakats av Orion som otillbörligt nyttjade.
6. Byt alla lösenord som har lagrats av Orion.

Vi tar gärna emot information om din organisation är påverkad, mejla då till cert@cert.se. PGP-nyckel

Källor

[1] https://solarwinds.com/securityadvisory
[2] https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
[3] https://www.solarwinds.com/securityadvisory/faq
[4] https://cyber.dhs.gov/ed/21-01/
[5] https://www.cisa.gov/news/2020/12/13/cisa-issues-emergency-directive-mitigate-compromise-solarwinds-orion-network
[6] https://github.com/fireeye/sunburst_countermeasures
[7] https://github.com/fireeye/sunburst_countermeasures/blob/main/indicator_release/Indicator_Release_NBIs.csv
[8] https://github.com/fireeye/sunburst_countermeasures/blob/main/indicator_release/Indicator_Release_Hashes.csv
[9] https://www.trustedsec.com/blog/solarwinds-backdoor-sunburst-incident-response-playbook/
[10] https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect/
[11] https://us-cert.cisa.gov/ncas/alerts/aa20-352a