 |
Muut verkkotunnukset myös meidän kautta
18 12 2020
SolarWinds Orion Platformin takaovi mahdollisti vakoilun ja tietomurtoja
SolarWinds Orion Platform -hallintatyökaluun lisätty takaovi on merkittävä tietoturvatapaus. Tietomurron ja vakoilun mahdollistanut takaovi onnistuttiin levittämään tuhansiin organisaatioihin. Työkalun haavoittuvaa versiota käyttävien organisaatioiden pyydetään olemaan yhteydessä Kyberturvallisuuskeskukseen.
SolarWinds Orion Platformista löytyi takaovi
SolarWinds Orion Platform -hallintatyökalusta löytyi tunkeutumisen mahdollistava takaovi . Työkaluun ujutettua takaovea on voitu käyttää organisaation palveluihin tunkeutumiseen. SolarWinds Orion Platform on lukuisien suurien organisaatioiden IT-infrastruktuurin keskitettyyn valvontaan ja hallintaan käytetty työkalu.
Takaovea on hyödynnetty hyökkääjien toimesta aktiivisesti jo vuoden 2020 maaliskuusta alkaen. Takaoven sisältävää SolarWinds Orion Platform -hallintatyökalua on arviolta 18000 organisaatiossa ympäri maailman.
Yhdysvaltojen turvallisuusviranomaiset ovat vahvistaneet lukuisten yhdysvaltalaisten kohteiden olleen aktiivisen hyökkäyksen kohteena.
Takaovi mahdollisti tietomurron ja vakoilun
Takaoven lisääminen tuotteeseen kertoo, että hyökkääjä onnistui lisäämään haitallista sisältöä tuotteeseen sen valmistajan, SolarWindsin, kautta. Tätä hyökkäystapaa kutsutaan toimitusketjuhyökkäykseksi (englanniksi "supply-chain attack").
Hyökkääjä kykeni murtautumaan organisaation järjestelmään ja lähettämään sille lisäkäskyjä. Takaoven kautta ympäristöä on voitu esimerkiksi vakoilla tai siihen on voitu asentaa haittaohjelmia.
Valtaosassa kohdeorganisaatioista hyökkäys ei kuitenkaan ole edennyt takaoven sisältävän työkaluversion asentamista pidemmälle.
Takaoven toimintatapa
Takaoven toimitatapa on monimutkainen.
Takaovi luo nimipalvelukyselyitä säännöllisin väliajoin Amazonin verkkotunnusta muistuttavaan avsvmcloud[.]com-verkkotunnukseen. Mikäli kyseisen verkkotunnuksen alidomain on olemassa, palautetaan vastauksena nimipalvelukyselyssä joko IP-osoite tai verkkotunnus CNAME-tietueessa.
Mikäli nimipalvelukyselyn vastauksena palautetaan IP-osoite, käytetään sitä pelkästään haittaohjelman seuraavan toiminnon määrittelyyn. Tässä vaiheessa hyökkäys ei vielä etene. Kaikissa ympäristöissä hyökkäys ei siis välttämättä ole edennyt takaoven sisältävää hallintatyökalun asennusta pidemmälle.
Jos nimipalvelukyselyn vastauksena palautetaan CNAME-tietue, käyttää takaoven sisältävä haittaohjelma sitä seuraavan vaiheen suorittamiseen. Tämän jälkeen hyökkäys etenee ympäristössä.
Kyberturvallisuuskeskuksen tiedossa olevissa tapauksissa hyökkäykset eivät ole edenneet ensimmäistä vaihetta pidemmälle.
Jos takaoven sisältävä työkalu on ollut organisaatiosi käytössä
Pyydämme ilmoittamaan Kyberturvallisuuskeskukselle, jos organisaatiossasi on tällä hetkellä tai on aiemmin ollut käytössä takaoven sisältävä versio SolarWinds Orion Platformista (2019.4 HF 5, 2020.2 ilman hotfixejä, tai 2020.2 HF 1).
Tietoturvatiedotteet
- SolarWinds Orion Platformin takaovi mahdollisti vakoilun ja tietomurtoja
- Kalastelusivujen anatomiaa – Box-tiedostonjakopalvelua jäljittelevä kampanja
- Emotet-haittaohjelmaa levitetään aktiivisesti Suomessa
E-Karjalan ICT-Palvelut.net Oy
Markku Järvinen 050 305 9931
markku.jarvinen(AT)ict-palvelut.net
markku.jarvinen(AT)ict-palvelut.net
Käytämme evästeitä. Lisätiedot. Tarkempi selvitys Traficomin jutusta tai täältä.