SolarWinds Orion Platform -hallintatyökalusta löydetty takaovi

Haavoittuvuus38/2020

Julkaistu 14.12.2020

Päivitetty 28.12.2020 10:33

IT-infrastruktuurin keskitettyyn valvontaan ja hallintaan käytetystä SolarWinds Orion Platform -hallintatyökalusta on löydetty tunkeutumisen mahdollistava takaovi. Hallintatyökalussa on myös ohjelmointirajapinnan tunnistautumisen ohittamisen mahdollistava haavoittuvuus.

Sunburst-haavoittuvuus mahdollistaa takaoven avulla etänä lähetettävät komennot palvelimille, jotka käyttävät haavoittuvia versioita. Tunnettu uhkatoimija on käyttänyt takaovea aktiivisesti hyväkseen Yhdysvalloissa.

Paikallinen tietoturvaviranomainen CISA on julkaissut hätädirektiivin jossa se kehoittaa ryhtymään välittömiin toimenpiteisiin haavoittuvuuden suhteen. CISA julkaisee hätädirektiivejä ainoastaan silloin, kun haavoittuvuudella on arvioitu olevan erittäin vakavia seurauksia.

27.12 SolarWinds on julkaissut päivityksen tiedotteeseensa hallintatyökalun toisesta haavoittuvuudesta. Ohjelmointirajapinnan (engl. Application Programming Interface, API) tunnistautumisen ohittamiseen käytetty haittaohjelma on saanut nimekseen Supernova.

Kohde

Palvelimet ja palvelinsovellukset

Hyökkäystapa

Etäkäyttö
Ilman käyttäjän toimia
Ilman kirjautumista

Vaikutukset

Komentojen mielivaltainen suorittaminen
Suojauksen ohittaminen
Käyttövaltuuksien laajentaminen

Hyväksikäyttömenetelmä tiedossa

Rikollisessa käytössä

Ratkaisu

Korjaava ohjelmistopäivitys

Haavoittuvuuden kohde

Takaovi on löydetty SolarWinds Orion Platform -versioista: 2019.4 HF 5 - 2020.2.1.
Supernova-haittaohjelma on myös havaittu samoista versioista ja sen korjaavat toimenpiteet ovat samat kuin takaovella eli Sunburstissa.

SolarWinds kehoittaa asiakkaitaan päivittämään Orion Platform -työkalun versioon 2020.2.1 HF 2 mahdollisimman pian, sillä päivitys korjaa vaarantuneen komponentin ja tarjoaa useista turvallisuusominaisuuksien parannuksia.

SolarWinds on julkaissut toisen korjaavan päivityksen (2020.2.1 HF 2) tiistaina 15.12.2020.

SolarWinds kehoittaa päivittämään Orion Platform v2019.4 HF 5:n versioon 2019.4 HF 6.

On mahdollista, että ohjelmistolisenssi tulee synkronoida ennen päivityksen asentamista.

Mistä on kysymys?

Mikäli päivittäminen ei ole mahdollista, rajoituskeinona suositellaan estämään SolarWinds Orionin yhteydet organisaation ulkopuolelle.

SolarWinds: SolarWinds Security Advisory (ulkoinen linkki) (Ulkoinen linkki)

FireEye: Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor (ulkoinen linkki) (Ulkoinen linkki)

DHS: Mitigate SolarWinds Orion Code Compromise (ulkoinen linkki) (Ulkoinen linkki)

MSRC: Customer Guidance on Recent Nation-State Cyber Attacks (ulkoinen linkki) (Ulkoinen linkki)

17.12.2020 12:51

17.12.2020 Päivitetty haavoittuvuuden rajoittamiskeinoja.

28.12.2020 10:33

28.12.2020 Päivitetty Supernova-haittaohjelman tiedot