Softwarebedrijf SolarWinds heeft alle softwareproducten die het aanbiedt naar eigen zeggen gecontroleerd op de backdoor die aanwezig was in updates voor het Orion Platform. Uit dat onderzoek blijkt dat er geen andere programma's zijn gecompromitteerd. Verder heeft het bedrijf alle besmette versies van de software die werden aangeboden offline gehaald.

SolarWinds heeft 300.000 klanten. 33.000 daarvan maken gebruik van het Orion Platform, waarmee organisaties hun it-omgeving kunnen beheren en monitoren. Tussen maart en juni van dit jaar wisten aanvallers meerdere digitaal gesigneerde updates van het platform van een backdoor te voorzien. Volgens SolarWinds kregen de aanvallers toegang tot het Orion 'software build system' en konden zo de backdoor aan de updates toevoegen.

Hoe de aanvallers hierin zijn geslaagd is nog altijd niet bekendgemaakt. "Deze aanval was zeer complex en geraffineerd. De kwetsbaarheid was gemaakt om niet te worden opgemerkt en alleen te draaien wanneer detectie onwaarschijnlijk was", aldus een verklaring van SolarWinds. Het bedrijf spreekt structureel over een "kwetsbaarheid" in plaats van een door aanvallers aangebrachte backdoor.

Van de 33.000 Orion-klanten installeerden er 18.000 de besmette updates. Eenmaal actief maakt de backdoor verbinding met een domein van de aanvallers en kan aanvullende malware installeren. De Amerikaanse ministeries van Handel, Homeland Security en Landbouw hebben in het openbaar bekend getroffen te zijn. Het werkelijke aantal slachtoffers ligt waarschijnlijk veel hoger.

Naar aanleiding van de aanval heeft SolarWinds het certificaat voor het signeren van code vervangen en is de toegang tot de build-omgeving beperkt.