SolarWinds Orion Platformin takaovi mahdollisti vakoilun ja tietomurtoja
Tietoturva Nyt!
SolarWinds Orion Platform -hallintatyökaluun lisätty takaovi on merkittävä tietoturvatapaus. Tietomurron ja vakoilun mahdollistanut takaovi onnistuttiin levittämään tuhansiin organisaatioihin. Työkalun haavoittuvaa versiota käyttävien organisaatioiden pyydetään olemaan yhteydessä Kyberturvallisuuskeskukseen.
SolarWinds Orion Platformista löytyi takaovi
SolarWinds Orion Platform -hallintatyökalusta löytyi tunkeutumisen mahdollistava takaovi (Ulkoinen linkki). Työkaluun ujutettua takaovea on voitu käyttää organisaation palveluihin tunkeutumiseen. SolarWinds Orion Platform on lukuisien suurien organisaatioiden IT-infrastruktuurin keskitettyyn valvontaan ja hallintaan käytetty työkalu.
Takaovea on hyödynnetty hyökkääjien toimesta aktiivisesti jo vuoden 2020 maaliskuusta alkaen. Takaoven sisältävää SolarWinds Orion Platform -hallintatyökalua on arviolta 18000 organisaatiossa (Ulkoinen linkki) ympäri maailman.
Yhdysvaltojen turvallisuusviranomaiset ovat vahvistaneet (Ulkoinen linkki) lukuisten yhdysvaltalaisten kohteiden olleen aktiivisen hyökkäyksen kohteena.
Takaovi mahdollisti tietomurron ja vakoilun
Takaoven lisääminen tuotteeseen kertoo, että hyökkääjä onnistui lisäämään haitallista sisältöä tuotteeseen sen valmistajan, SolarWindsin, kautta. Tätä hyökkäystapaa kutsutaan toimitusketjuhyökkäykseksi (englanniksi "supply-chain attack").
Hyökkääjä kykeni murtautumaan organisaation järjestelmään ja lähettämään sille lisäkäskyjä. Takaoven kautta ympäristöä on voitu esimerkiksi vakoilla tai siihen on voitu asentaa haittaohjelmia.
Valtaosassa kohdeorganisaatioista hyökkäys ei kuitenkaan ole edennyt takaoven sisältävän työkaluversion asentamista pidemmälle.
Takaoven toimintatapa
Takaoven toimitatapa on monimutkainen.
Takaovi luo nimipalvelukyselyitä säännöllisin väliajoin Amazonin verkkotunnusta muistuttavaan avsvmcloud[.]com-verkkotunnukseen. Mikäli kyseisen verkkotunnuksen alidomain on olemassa, palautetaan vastauksena nimipalvelukyselyssä joko IP-osoite tai verkkotunnus CNAME-tietueessa.
Mikäli nimipalvelukyselyn vastauksena palautetaan IP-osoite, käytetään sitä pelkästään haittaohjelman seuraavan toiminnon määrittelyyn. Tässä vaiheessa hyökkäys ei vielä etene. Kaikissa ympäristöissä hyökkäys ei siis välttämättä ole edennyt takaoven sisältävää hallintatyökalun asennusta pidemmälle.
Jos nimipalvelukyselyn vastauksena palautetaan CNAME-tietue, käyttää takaoven sisältävä haittaohjelma sitä seuraavan vaiheen suorittamiseen. Tämän jälkeen hyökkäys etenee ympäristössä.
Kyberturvallisuuskeskuksen tiedossa olevissa tapauksissa hyökkäykset eivät ole edenneet ensimmäistä vaihetta pidemmälle.
Jos takaoven sisältävä työkalu on ollut organisaatiosi käytössä
Pyydämme ilmoittamaan Kyberturvallisuuskeskukselle, jos organisaatiossasi on tällä hetkellä tai on aiemmin ollut käytössä takaoven sisältävä versio SolarWinds Orion Platformista (2019.4 HF 5, 2020.2 ilman hotfixejä, tai 2020.2 HF 1).
