image

Kritiek SolarWinds-lek gebruikt voor installatie van backdoor

donderdag 24 december 2020, 20:33 door Redactie, 19 reacties

Een kritieke kwetsbaarheid in het Orion Platform van softwarebedrijf SolarWinds is door aanvallers misbruikt voor het installeren van een backdoor bij organisaties. Deze backdoor verschilt van de backdoor die in updates voor het Orion Platform werd verborgen. SolarWinds heeft beveiligingsupdates uitgebracht om de kwetsbaarheid te verhelpen.

De backdoor die via een supply-chain-aanval onder 18.000 klanten van SolarWinds werd verspreid kreeg de naam Sunburst. Tijdens het onderzoek naar deze aanval ontdekte Microsoft een tweede backdoor genaamd Supernova, waarmee aanvallers ook toegang tot besmette machines kregen. Deze backdoor staat los van de Sunburst-backdoor en is volgens Microsoft vermoedelijk door een andere groep aanvallers gebruikt.

Details over de kwetsbaarheid, wat de exacte aanvalsvector is en hoelang aanvallers hier misbruik van hebben gemaakt zijn niet door SolarWinds gegeven. Alle ondersteunde versies van het Orion Platform zijn echter kwetsbaar. Organisaties wordt aangeraden om te updaten naar Orion Platform versie 2019.4 HF 6 of 2020.2.1 HF 2 waarin het probleem is verholpen.

Voor organisaties die op dit moment niet kunnen upgraden naar de laatste versie heeft SolarWinds via de klantenportaal een script beschikbaar gesteld dat organisaties moet beschermen.

Reacties (19)
24-12-2020, 21:31 door walmare
Weer allemaal windowsonly-gedonder. Waarom wordt dat er nooit bij verteld?
25-12-2020, 07:22 door Anoniem
Door walmare: Weer allemaal windowsonly-gedonder. Waarom wordt dat er nooit bij verteld?

Is dat zo belangrijk dan? Kon evengoed bij een niet windows programma gebeurd zijn.
25-12-2020, 19:00 door CreatoX
"Voor organisaties die op dit moment niet kunnen upgraden naar de laatste versie heeft SolarWinds via de klantenportaal een script beschikbaar gesteld dat organisaties moet beschermen."

Graag zou ik de locatie van de scripts willen weten. Wij hebben toegang tot https://success.solarwindsmsp.com/ maar kan daar niet iets vinden.

Voor ons is het belangrijk werkelijk te weten dat NCentral niet geïnfecteerd is (MSP N-central 12.3 HF5 (12.3.0.701))
Volgens Solarwinds valt NCentral er buiten, maar ben er niet gerust op. Ze lijkten hier nog niet een heel goed beeld van te hebben namelijk.

Updaten naar de nieuwe versie is op dit moment voor ons erg lastig.
26-12-2020, 00:37 door [Account Verwijderd] - Bijgewerkt: 26-12-2020, 00:40
Door Anoniem:
Door walmare: Weer allemaal windowsonly-gedonder. Waarom wordt dat er nooit bij verteld?

Is dat zo belangrijk dan? Kon evengoed bij een niet windows programma gebeurd zijn.

Dat betwijfel ik ten zeerste!

Door CreatoX: ... Graag zou ik de locatie van de scripts willen weten. Wij hebben toegang tot https://success.solarwindsmsp.com/ maar kan daar niet iets vinden.

Voor ons is het belangrijk werkelijk te weten dat NCentral niet geïnfecteerd is (MSP N-central 12.3 HF5 (12.3.0.701))
Volgens Solarwinds valt NCentral er buiten, maar ben er niet gerust op. Ze lijkten hier nog niet een heel goed beeld van te hebben namelijk.

Updaten naar de nieuwe versie is op dit moment voor ons erg lastig.

Geen legale licentie? Indien wel dan kan je gewoon de leverancier benaderen voor support.
26-12-2020, 09:30 door karma4
Door Toje Fos: Dat betwijfel ik ten zeerste! .
Een supply chain aanval gaat erg vaak met insiders social engineering. Vrij klassiek op de menselijke zwakheden,
Ik zou me meer zorgen maken op had gecodeerd passwords backdoors in wat open omgevingen heet.
Ook hier me solarwinds hadden velen het kunnen zien, maar niemand zag het. Nogal een flink stuk code wat door de supply chain heen er in gezet is. Geen registratie / test of wat dan ook bij het mergen.

Geen legale licentie? Indien wel dan kan je gewoon de leverancier benaderen voor support.
Updaten is niet enkel een vraag of het gelicenseerd is. Er zijn zeer veel andere afhankelijkheden in professionele omgevingen.
Toegang krijg je gewoonlijk niet zo maar, je moet een geldige licentie hebben om bij een support kanaal te komen. Niets bijzonders, bug meldingen en support is overal wat voor systeem er ondersteund wordt op een of andere manier afgeschermd.
26-12-2020, 11:23 door [Account Verwijderd]
Door karma4:
Door Toje Fos: Dat betwijfel ik ten zeerste! .
Een supply chain aanval gaat erg vaak met insiders social engineering. Vrij klassiek op de menselijke zwakheden,
Ik zou me meer zorgen maken op had gecodeerd passwords backdoors in wat open omgevingen heet.
Ook hier me solarwinds hadden velen het kunnen zien, maar niemand zag het. Nogal een flink stuk code wat door de supply chain heen er in gezet is. Geen registratie / test of wat dan ook bij het mergen.

Ik zag het wel. Ik heb het al jaren zien aankomen. En het is in essentie zo simpel dat zelf een kleuter het had kunnen zien aankomen. Dit is namelijk precies wat je krijgt als je software voor lichte consumententoepassingen gaat in professionele omgevingen gaat gebruiken.

Door karma4:
Geen legale licentie? Indien wel dan kan je gewoon de leverancier benaderen voor support.
Updaten is niet enkel een vraag of het gelicenseerd is. Er zijn zeer veel andere afhankelijkheden in professionele omgevingen.
Toegang krijg je gewoonlijk niet zo maar, je moet een geldige licentie hebben om bij een support kanaal te komen. Niets bijzonders, bug meldingen en support is overal wat voor systeem er ondersteund wordt op een of andere manier afgeschermd.

Je zegt van niet maar je geeft mij volledig gelijk. Dank je!
26-12-2020, 12:43 door Anoniem
Door Toje Fos:

Ik zag het wel. Ik heb het al jaren zien aankomen. En het is in essentie zo simpel dat zelf een kleuter het had kunnen zien aankomen. Dit is namelijk precies wat je krijgt als je software voor lichte consumententoepassingen gaat in professionele omgevingen gaat gebruiken.
Ik heb NOOIT ergens gelezen, dat dit pakket voor de consumentenmarkt bestemd is geweest, dus....
26-12-2020, 16:13 door Anoniem
Door walmare: Weer allemaal windowsonly-gedonder. Waarom wordt dat er nooit bij verteld?
Omdat er geen enkele software suite á la Solarwinds bestaat voor non-windows. Er moet altijd bijgeprogrammeerd worden en combinatie van tools worden gemaakt om iets a la genoemde software te krijgen.

Overigens is windows het meest gebruikte OS, kun je op 1 hand nagaan dat daar de meeste kwetsbaarheden inzitten, is gewoon een statistisch gegeven, net zoals de "collega's" hierboven de voorspelling konden doen dat dit er aan zat te komen.
Dus voor de toekomst; de meeste pwnage zul je zien op Windows, daar is het het makkelijkst een grote "installed base" vergaren. Ik durf wel te beweren dat het hele kader ICT-security met het hele verdienmodel/werkgelegenheid ontstaan is door m.n. het beleid van de verkoopmachines van Microsoft. (achteraf patchen, niet te veel secure code maken, want te duur) Zonder hen had dit nooit gekund en bestond het hele ICT-Security niet.

We kunnen wel een pool verzinnen en een voorspelling doen; best interessant.
26-12-2020, 16:28 door Anoniem
Updaten naar de nieuwe versie is op dit moment voor ons erg lastig.

Zou je kunnen toelichten waarom? Misschien ligt daar een eenvoudigere oplossing.
26-12-2020, 17:09 door walmare - Bijgewerkt: 26-12-2020, 17:13
Door Anoniem:
Door walmare: Weer allemaal windowsonly-gedonder. Waarom wordt dat er nooit bij verteld?
Omdat er geen enkele software suite á la Solarwinds bestaat voor non-windows. Er moet altijd bijgeprogrammeerd worden en combinatie van tools worden gemaakt om iets a la genoemde software te krijgen.

Overigens is windows het meest gebruikte OS, kun je op 1 hand nagaan dat daar de meeste kwetsbaarheden inzitten, is gewoon een statistisch gegeven, net zoals de "collega's" hierboven de voorspelling konden doen dat dit er aan zat te komen.
Dus voor de toekomst; de meeste pwnage zul je zien op Windows, daar is het het makkelijkst een grote "installed base" vergaren. Ik durf wel te beweren dat het hele kader ICT-security met het hele verdienmodel/werkgelegenheid ontstaan is door m.n. het beleid van de verkoopmachines van Microsoft. (achteraf patchen, niet te veel secure code maken, want te duur) Zonder hen had dit nooit gekund en bestond het hele ICT-Security niet.

We kunnen wel een pool verzinnen en een voorspelling doen; best interessant.
Het aandeel windows wereldwijd is inmiddels met een duikvlucht gedaald tot 32,37% maar levert wel bijna 100% van de problemen t.g.v. malware. De meeste gebruikers zijn tegenwoordig consumenten omdat het nog steeds standaard meegeleverd wordt op bijna alle consumenten pc's en laptops. Software voor de consument dus.
26-12-2020, 18:27 door Anoniem
Door walmare:
Door Anoniem:
Door walmare: Weer allemaal windowsonly-gedonder. Waarom wordt dat er nooit bij verteld?
Omdat er geen enkele software suite á la Solarwinds bestaat voor non-windows. Er moet altijd bijgeprogrammeerd worden en combinatie van tools worden gemaakt om iets a la genoemde software te krijgen.

Overigens is windows het meest gebruikte OS, kun je op 1 hand nagaan dat daar de meeste kwetsbaarheden inzitten, is gewoon een statistisch gegeven, net zoals de "collega's" hierboven de voorspelling konden doen dat dit er aan zat te komen.
Dus voor de toekomst; de meeste pwnage zul je zien op Windows, daar is het het makkelijkst een grote "installed base" vergaren. Ik durf wel te beweren dat het hele kader ICT-security met het hele verdienmodel/werkgelegenheid ontstaan is door m.n. het beleid van de verkoopmachines van Microsoft. (achteraf patchen, niet te veel secure code maken, want te duur) Zonder hen had dit nooit gekund en bestond het hele ICT-Security niet.

We kunnen wel een pool verzinnen en een voorspelling doen; best interessant.
Het aandeel windows wereldwijd is inmiddels met een duikvlucht gedaald tot 32,37% maar levert wel bijna 100% van de problemen t.g.v. malware. De meeste gebruikers zijn tegenwoordig consumenten omdat het nog steeds standaard meegeleverd wordt op bijna alle consumenten pc's en laptops. Software voor de consument dus.
Kom nou eens met bewijs, dat SolarWinds voor de consumenten markt is. Nu probeer je ervan alles bij te halen, om jouw zogenaamde bewering kracht bij te zetten, dat is zo zielig!
26-12-2020, 22:05 door Anoniem
Door walmare:
Het aandeel windows wereldwijd is inmiddels met een duikvlucht gedaald tot 32,37% maar levert wel bijna 100% van de problemen t.g.v. malware. De meeste gebruikers zijn tegenwoordig consumenten omdat het nog steeds standaard meegeleverd wordt op bijna alle consumenten pc's en laptops. Software voor de consument dus.
Denk jij nu werkelijk,dat de Windows versie op de pc dezelfde is, die op de grote systemen draait? Alleen de naam is gelijk! Hetzelfde gebeurt bij jouw geliefde Linux. De versie op de grote systemen is geheel anders voor op de pc of iets dergelijks.
Het aantal procent slaat ook nergens op. Voor welk gebied is dat?
26-12-2020, 23:47 door walmare
Door Anoniem:
Door walmare:
Door Anoniem:
Door walmare: Weer allemaal windowsonly-gedonder. Waarom wordt dat er nooit bij verteld?
Omdat er geen enkele software suite á la Solarwinds bestaat voor non-windows. Er moet altijd bijgeprogrammeerd worden en combinatie van tools worden gemaakt om iets a la genoemde software te krijgen.

Overigens is windows het meest gebruikte OS, kun je op 1 hand nagaan dat daar de meeste kwetsbaarheden inzitten, is gewoon een statistisch gegeven, net zoals de "collega's" hierboven de voorspelling konden doen dat dit er aan zat te komen.
Dus voor de toekomst; de meeste pwnage zul je zien op Windows, daar is het het makkelijkst een grote "installed base" vergaren. Ik durf wel te beweren dat het hele kader ICT-security met het hele verdienmodel/werkgelegenheid ontstaan is door m.n. het beleid van de verkoopmachines van Microsoft. (achteraf patchen, niet te veel secure code maken, want te duur) Zonder hen had dit nooit gekund en bestond het hele ICT-Security niet.

We kunnen wel een pool verzinnen en een voorspelling doen; best interessant.
Het aandeel windows wereldwijd is inmiddels met een duikvlucht gedaald tot 32,37% maar levert wel bijna 100% van de problemen t.g.v. malware. De meeste gebruikers zijn tegenwoordig consumenten omdat het nog steeds standaard meegeleverd wordt op bijna alle consumenten pc's en laptops. Software voor de consument dus.
Kom nou eens met bewijs, dat SolarWinds voor de consumenten markt is. Nu probeer je ervan alles bij te halen, om jouw zogenaamde bewering kracht bij te zetten, dat is zo zielig!
Dat is zo duidelijk als wat . Het orion platform is alleen beschikbaarbaar gemaakt voor software dat met een consumenten PC gratis wordt meegeleverd. Ongeschikt voor professionele omgevingen van tegenwoordig blijkt.
27-12-2020, 00:25 door Anoniem
@ CreatoX,

Een oplossing voor dit probleem in de vorm van "webservices via een proxy"
met een gemodificeerde constructor, wordt hier reeds aangedragen:
(had Deepak Raghavan reeds een vooruitziende blik in 2006 voor dit probleem?)

Lees https://www.c-sharpcorner.com/article/use-of-proxy-when-using-webserices/
source credits gaan naar:Deepak Raghavan van C#Corner.

Beveiligingsproblemen centreren zich dus steeds om dezelfde centrale problematische kern issue,
namelijk code-oorsprong kunnen vaststellen.

#sockpuppet
27-12-2020, 11:24 door karma4 - Bijgewerkt: 27-12-2020, 11:25
Door Toje Fos:
Ik zag het wel. Ik heb het al jaren zien aankomen. En het is in essentie zo simpel dat zelf een kleuter het had kunnen zien aankomen. Dit is namelijk precies wat je krijgt als je software voor lichte consumententoepassingen gaat in professionele omgevingen gaat gebruiken.
Wat zag je aankomen? https://www.solarwinds.com/solutions/enterprise-solutions
"Organizations of all sizes have complex IT environments that make managing IT challenging."
- Centralized monitoring and management of your entire IT stack, from infrastructure to application
....
- Simple, secure, and integrated experience"

Het is een enterprise oplossing servers databases, er zit alles in. Alleen voor professionele omgevingen bedoeld.
Het was niet voor niets onbekend als bedrijf, ze hebben niets met de consumenten markt.

Welk onderdeel van een bedrijf wordt gebruik waar gebruikers internet toegang hebben? Zonder verbinding naar buiten begin je niets. Pak daarbuiten nog wat webservices (pishing) en je hebt een weg.

Wat je aangeeft met je os flaming is de bekende afleidingstactiek om tot een onderbouwde goede beveiliging te komen.
Ga met fud aan de slag om het management murw te maken zodat die foute beslissingen nemen.
27-12-2020, 12:07 door Anoniem
Door walmare:
Kom nou eens met bewijs, dat SolarWinds voor de consumenten markt is. Nu probeer je ervan alles bij te halen, om jouw zogenaamde bewering kracht bij te zetten, dat is zo zielig!
Dat is zo duidelijk als wat . Het orion platform is alleen beschikbaarbaar gemaakt voor software dat met een consumenten PC gratis wordt meegeleverd. Ongeschikt voor professionele omgevingen van tegenwoordig blijkt.[/quote]Ik merk gewoon, dat je het niet kunt begrijpen. De Windows versie voor het Orion platform is een geheel andere versie, dan er op de pc gaat! En weet je, ook pc's met hele ander besturingssysteem maken gebruik van deze Windows serversystemen.
27-12-2020, 12:44 door [Account Verwijderd]
Door Anoniem:
Door Toje Fos:

Ik zag het wel. Ik heb het al jaren zien aankomen. En het is in essentie zo simpel dat zelf een kleuter het had kunnen zien aankomen. Dit is namelijk precies wat je krijgt als je software voor lichte consumententoepassingen gaat in professionele omgevingen gaat gebruiken.
Ik heb NOOIT ergens gelezen, dat dit pakket voor de consumentenmarkt bestemd is geweest, dus....

Het probleem is het brakke voor lichte consumententoepassingen fundament en infrastructuur waar men 'professionele' toepassingen op en mee bouwt. En overheden en instituten zouden verplicht moeten worden om alleen maar met open source software te werken. Om de inzichtelijkheid te behouden en vendorlock-in te voorkomen.
27-12-2020, 16:02 door Anoniem
@ Toje Fos,

Dat zal wel bij wensdenken blijven voor jou en velen met je. Want te veel lobbying voor MS en MS contractors en sub-contractors ook en vooral bij de overheid en de outsourcing.

Dat monster is voorlopig niet te temmen, hoe veel malware via malcreanten en cybercriminelen je ook op deze manier op je af ziet komen, nu weer via Solarigate. Als Silicon Valley niet "getemd" wordt zogezegd, blijven ze heersen over autoriteiten en de mens in het algemeen. Jou pakken ze niet meer in. Wees daar dan tenminste blij om.

Wat linux ziet, ziet Windows Event Viewer beslist niet. Vanaf MS-dos was het OS al niet klaar voor Interwebz en de hoofd-software-verkoper had er ook al geen ene moer verstand van, ik doel op Billy G. Ontstaan uit de "vogelfluitjes vaste telefoon-hackerswereld", net als Yapple met de staart- OS.

Vendor-lock-in gaat alleen om wille van de giga belangen van de stakeholders op de achtergrond (van grootcommercie tot veiligheidsdiensten) en dus naar het laat aanzien nooit meer weg.

luntrus
27-12-2020, 23:30 door Anoniem
Door Anoniem:
Door walmare:
Kom nou eens met bewijs, dat SolarWinds voor de consumenten markt is. Nu probeer je ervan alles bij te halen, om jouw zogenaamde bewering kracht bij te zetten, dat is zo zielig!
Dat is zo duidelijk als wat . Het orion platform is alleen beschikbaarbaar gemaakt voor software dat met een consumenten PC gratis wordt meegeleverd. Ongeschikt voor professionele omgevingen van tegenwoordig blijkt.
Ik merk gewoon, dat je het niet kunt begrijpen. De Windows versie voor het Orion platform is een geheel andere versie, dan er op de pc gaat! En weet je, ook pc's met hele ander besturingssysteem maken gebruik van deze Windows serversystemen.[/quote]Integendeel. De kernel is hetzelfde incl de hele desktop gui met die idiote blokken. Hoe verzinnen ze het op een server.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.