Im Rahmen der Prävention weisen wir darauf hin, dass bei der Software-Plattform Orion der Firma SolarWinds eine Kompromittierung eines Update-Servers stattgefunden hat, durch welche Schadsoftware (Backdoor-Trojaner) auf Zielsysteme gelangte. Nach hiesiger Einschätzung könnte es sich hierbei um einen staatlich gesteuerten Cyberakteur handeln.
Der US IT-Sicherheitsdienstleister FireEye berichtete am Sonntag, 13.12.2020, von einer trojanisierten SolarWinds Orion Version [FIE2020a]. Diese Angriffskampagne soll dem Bericht zufolge sektor- und länderübergreifend stattgefunden haben.
Konkret betroffen ist die SolarWinds.Orion.Core.BusinessLayer.dll Programmbibliothek (MD5-Hash: b91ce2fa41029f6955bff20079468448, signiert am 24. März 2020 mit Zertifikat-Seriennummer
0f:e9:73:75:20:22:a6:06:ad:f2:a3:6e:34:5d:c0:ed) [FIE2020a], [TWI2020].
Wie heise security von heute, 16.12.2020, mitteilte, empfahl der Hersteller Ausnahmeregelungen seiner Anwendungen mittels Whitelisting von der Antiviren-Überwachung [heise security i+f].
Seitens SolarWinds wurde eine bereinigte Update-Version für den 15.12.2020 angekündigt.
Handlungsempfehlungen
Sollte Ihr Unternehmen die o.g. Software / Dienste einsetzen, bitten wir gegebenenfalls um die Rückmeldung von Antworten zu den folgenden Hinweisen:
• Setzen Sie bei dem Einsatz der SolarWinds Orion Monitoring-Software die Version 2020.2.1 HF 1 oder neuer ein?
• Hinweise zur Prüfung des Versions- und Update-Status finden Sie im SolarWinds Advisory [SOW2020]
• Falls Sie SolarWinds Orion einsetzen, nutzen Sie die von FireEye bereit-gestellten Signaturen zur Suche nach Kompromittierungen [FIE2020b]?
• Prüfen Sie beim Einsatz von SolarWinds Orion zwingend Ihr Netz auf erfolgte Seitwärtsbewegungen
• Verfolgen Sie den Sachverhalt eigeninitiativ weiter (z. B. Aktualisierungs-prüfung der FireEye-Informationen)
• Gehen Sie der BSI Empfehlung nach, SolarWinds Orion neu aufzusetzen und alle potenziell betroffenen Zugangsdaten zu ändern, wenn eine verwundbare Version zum Einsatz kam
• Ist Ihre IT-Management-Software unabhängig vom Hersteller in Ihrem Netz besonders geschützt (kein direkter Internetzugriff, Einschränkung der Netzkommunikation durch dedizierte und lokale Firewall, Verwendung minimaler Berechtigungen, aktivierte Protokollierung) [BSI2020a], [BSI2020b], [BSI2020c], [BSI2020d]?
• Haben Sie mindestens die in den BSI Advanced Persistent Threat (APT) Dokumenten aufgeführten Detektionsmaßnahmen umgesetzt [BSI2020a]?