secopan-logo-whitesecopan-logo-whitesecopan-logo-whitesecopan-logo-white
  • HOME
  • Leistungen
    • Datenschutz
    • ISO/IEC 27001
    • ISO/IEC 27019 – IT-SiKat
    • Systeme zur Angriffserkennung
    • IT-Sicherheitsbeauftragter
    • TISAX
  • Awareness
  • TEAM
  • Karriere
  • Kontakt
  • Blog
  • Newsletter
✕

WARNMELDUNG – Hinweis auf eine aktuelle Angriffskampagne

Im Rahmen der Prävention weisen wir darauf hin, dass bei der Software-Plattform Orion der Firma SolarWinds eine Kompromittierung eines Update-Servers stattgefunden hat, durch welche Schadsoftware (Backdoor-Trojaner) auf Zielsysteme gelangte. Nach hiesiger Einschätzung könnte es sich hierbei um einen staatlich gesteuerten Cyberakteur handeln.

Der US IT-Sicherheitsdienstleister FireEye berichtete am Sonntag, 13.12.2020, von einer trojanisierten SolarWinds Orion Version [FIE2020a]. Diese Angriffskampagne soll dem Bericht zufolge sektor- und länderübergreifend stattgefunden haben.

Konkret betroffen ist die SolarWinds.Orion.Core.BusinessLayer.dll Programmbibliothek (MD5-Hash: b91ce2fa41029f6955bff20079468448, signiert am 24. März 2020 mit Zertifikat-Seriennummer

0f:e9:73:75:20:22:a6:06:ad:f2:a3:6e:34:5d:c0:ed) [FIE2020a], [TWI2020].

Wie heise security von heute, 16.12.2020, mitteilte, empfahl der Hersteller Ausnahmeregelungen seiner Anwendungen mittels Whitelisting von der Antiviren-Überwachung [heise security i+f].

Seitens SolarWinds wurde eine bereinigte Update-Version für den 15.12.2020 angekündigt.

Handlungsempfehlungen

Sollte Ihr Unternehmen die o.g. Software / Dienste einsetzen, bitten wir gegebenenfalls um die Rückmeldung von Antworten zu den folgenden Hinweisen:

• Setzen Sie bei dem Einsatz der SolarWinds Orion Monitoring-Software die Version 2020.2.1 HF 1 oder neuer ein?

• Hinweise zur Prüfung des Versions- und Update-Status finden Sie im SolarWinds Advisory [SOW2020]

• Falls Sie SolarWinds Orion einsetzen, nutzen Sie die von FireEye bereit-gestellten Signaturen zur Suche nach Kompromittierungen [FIE2020b]?

• Prüfen Sie beim Einsatz von SolarWinds Orion zwingend Ihr Netz auf erfolgte Seitwärtsbewegungen

• Verfolgen Sie den Sachverhalt eigeninitiativ weiter (z. B. Aktualisierungs-prüfung der FireEye-Informationen)

• Gehen Sie der BSI Empfehlung nach, SolarWinds Orion neu aufzusetzen und alle potenziell betroffenen Zugangsdaten zu ändern, wenn eine verwundbare Version zum Einsatz kam

• Ist Ihre IT-Management-Software unabhängig vom Hersteller in Ihrem Netz besonders geschützt (kein direkter Internetzugriff, Einschränkung der Netzkommunikation durch dedizierte und lokale Firewall, Verwendung minimaler Berechtigungen, aktivierte Protokollierung) [BSI2020a], [BSI2020b], [BSI2020c], [BSI2020d]?

• Haben Sie mindestens die in den BSI Advanced Persistent Threat (APT) Dokumenten aufgeführten Detektionsmaßnahmen umgesetzt [BSI2020a]?

WARNMELDUNG – Hinweis auf eine aktuelle Angriffskampagne

secopan – Die Experten für Informationssicherheit und Datenschutz

Am Schönblick 14,
71229 Leonberg

Telefon
Tel.: +497152-56958-0

E-mail
info@secopan.de

DATENSCHUTZERKLÄRUNG
IMPRESSUM
© 2023 secopan - Security Competence Partner Network | All Rights Reserved.
    • No translations available for this page