Varsel om SolarWinds kompromittering

Den 14. december 2020 offentliggjorde CISA under det amerikanske Department of Homeland Security (DHS), samt de private firmaer FireEye og Microsoft, oplysninger om en kompromittering af kodebasen til softwareproduktet SolarWinds Orion.

Aktøren har udnyttet denne kompromittering til at snige en bagdør ind i SolarWinds Orion. Bagdøren er navngivet SUNBURST.

SolarWinds har angivet de berørte versioner af Orion som 2019.4 HF5 til og med 2020.2 HF1.

Detaljer

CFCS anbefaler at undersøge, om der har været anvendt en berørt version af SolarWinds Orion.

CFCS vurderer, at følgende forhold bør prioriteres som led i afdækning af en SUNBURST-kompromittering:

1. Er der foretaget opdatering af SolarWinds Orion i perioden fra 1. marts 2020 til dags dato?

Hvis ja, hvornår er opdateringerne foretaget, og fra og til hvilke versioner?

2. Har der været adgang til at foretage DNS-opslag fra SolarWinds Orion installationen? Hvis ja:

• Er der indsigt på DNS-opslag fra installationen i perioden fra 1. marts 2020 til dags dato? Hvis ja:
• Er der opslag på domænet avsvmcloud[.]com?
• Forekommer der IP-adresser eller domæner i DNS-svarene fra avsvmcloud[.]com?
• Er der efterfølgende kommunikation med eller forbindelser til disse IP-adresser eller domæner?

3. Er der fundet IoC’er, der fremgår af FireEyes rapport og GitHub-side (jf. link i ressourcelisten), i it-infrastrukturen?

Konstateres der aktivitet jf. punkt 2 og 3 bør det håndteres som en kritisk hændelse, og en tilbundsgående sikkerhedsundersøgelse iværksættes, med udgangspunkt i de råd og vejledninger, der er listet i listen over ressourcer nedenfor.

Hvis der ikke er de nødvendige kompetencer hertil internt, bør det overvejes at søge ekstern hjælp hos sikkerhedsfirmaer med dokumenteret erfaring på området. Se også afsnittet ”Tilbud om assistance” herunder.

CFCS anbefaler, at man holder sig løbende orienteret, da nye oplysninger om SUNBURST-bagdøren og det overordnede angreb kan fremkomme.

Nærmere oplysninger om SUNBURST-bagdøren kan blandt andet findes på nedenstående hjemmesider. For kontinuerligt opdaterede IOC’er henvises til FireEye’s liste på GitHub.

Ressourcer til opklaring af SUNBURST-kompromittering

CISA (The Cybersecurity and Infrastructure Security Agency)

Alert (AA20-352A). Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations:

https://us-cert.cisa.gov/ncas/alerts/aa20-352a

FireEye       

Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims with SUNBURST Backdoor:

https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

Github repository med IOC'er:

https://github.com/fireeye/sunburst_countermeasures

SolarWinds

SolarWinds Security Advisory:

https://www.solarwinds.com/securityadvisory

Microsoft

Customer Guidance on Recent Nation-State Cyber Attack:

https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/

Tilbagemelding til CFCS

CFCS arbejder på at danne sig et overblik over udnyttelsen af SUNBURST-bagdøren i Danmark. CFCS bør kontaktes, hvis der via den interne undersøgelse jf. de ovenstående punkter 2-3 opstår en mistanke om kompromittering.

Tilbud om assistance

CFCS tilbyder sin assistance til indledende afdækning af it-sikkerhedshændelser hos aktører i den samfundsvigtige infrastruktur og hos statslige myndigheder. I fald der ønskes hjælp, opfordrer CFCS til at der sikres logs og images af de involverede systemer for yderligere analyse.

Kontakt

Hvis du har spørgsmål, er du velkommen til at kontakte Center for Cybersikkerhed på telefon 33 32 55 80 eller på mail cert@cert.cfcs.dk.