El proveedor de servicios de monitoreo de red SolarWinds lanzó oficialmente una segunda revisión para abordar una vulnerabilidad crítica en su plataforma Orion que fue explotada para insertar malware y violar entidades públicas y privadas en una campaña de espionaje de gran alcance.
En una nueva actualización publicada en su página de avisos, la compañía instó a sus clientes a actualizar Orion Platform a la versión 2020.2.1 HF 2 de inmediato para proteger sus entornos.
El malware, denominado SUNBURST (también conocido como Solorigate), afecta a las versiones de la aplicación Orion 2019.4 a 2020.2.1, lanzadas entre marzo de 2020 y junio de 2020.
«Según nuestra investigación, no sabemos que esta vulnerabilidad afecte a otras versiones, incluidas las versiones futuras, de los productos de la plataforma Orion», dijo la compañía.
«Hemos escaneado el código de todos nuestros productos de software en busca de marcadores similares a los utilizados en el ataque a nuestros productos de la Plataforma Orion identificados anteriormente, y no hemos encontrado evidencia de que otras versiones de nuestros productos de la Plataforma Orion o nuestros otros productos o agentes contengan esos marcadores».
También reiteró que ninguna de sus otras herramientas o agentes gratuitos, como RMM y N-central, se vieron afectados por la deficiencia de seguridad.
Microsoft se apodera del dominio utilizado en el hackeo de SolarWinds
Si bien aún se esperan detalles sobre cómo se violó la red interna de SolarWinds, ayer Microsoft dio el paso de tomar el control de uno de los principales dominios de GoDaddy: avsvmcloud.[.]com, que fue utilizado por los piratas informáticos para comunicarse con los sistemas comprometidos.
El fabricante de Windows también dijo que planea comenzar a bloquear los archivos binarios maliciosos conocidos de SolarWinds a partir de hoy a las 8:00 a. m. PST.
Mientras tanto, el investigador de seguridad Mubix «Rob» Fuller ha lanzado una herramienta de auditoría de autenticación llamada SolarFlare que se puede ejecutar en las máquinas Orion para ayudar a identificar las cuentas que pueden haberse visto comprometidas durante la filtración.
«Este ataque fue muy complejo y sofisticado», declaró SolarWinds en una nueva pregunta frecuente sobre por qué no pudo detectar este problema de antemano. «La vulnerabilidad se diseñó para evadir la detección y solo se ejecuta cuando la detección es poco probable».
Hasta 18.000 empresas afectadas por el ataque a SolarWinds
SolarWinds estima que hasta 18 000 de sus clientes pueden haber sido afectados por el ataque a la cadena de suministro. Pero hay indicios de que los operadores de la campaña aprovecharon esta falla para alcanzar solo objetivos seleccionados de alto perfil.
La firma de seguridad cibernética Symantec dijo que identificó más de 2,000 computadoras en más de 100 clientes que recibieron las actualizaciones de software de puerta trasera, pero agregó que no detectó ningún otro impacto malicioso en esas máquinas.
Justo cuando se evalúan las consecuencias de la brecha, la seguridad de SolarWinds ha atraído un mayor escrutinio.
No solo parece que el sitio web de descarga de software de la empresa estaba protegido por una contraseña simple («solarwinds123») que se publicó en claro en el repositorio de código de SolarWinds en Github; varios ciberdelincuentes intentaron vender acceso a sus computadoras en foros clandestinos, según Reuters.
A raíz del incidente, SolarWinds tomó la medida inusual de eliminar la lista de clientes de su sitio web.
