Enkele dagen geleden is de aanval op het beveiligingsbedrijf FireEye bekend geworden. Uit het uitgevoerde onderzoek hoe deze hack heeft plaatsgevonden blijkt dat hierbij misbruik is gemaakt van de SolarWinds Orion software. SolarWinds is een softwareproducent van monitoring- en beheersoftware. Het Orion product wordt ingezet voor beschikbaarheidsbewaking, vergelijkbaar met wat Promax met PRTG doet. SolarWinds Orion is een veel gebruikt product bij grotere organisaties, zowel in Amerika als ook in Nederland.
We hebben vragen ontvangen van enkele bezorgde klanten, of Promax ook gebruik maakt van deze software. Promax maakt geen gebruik van de Orion software van SolarWinds. We maken wel gebruik van enkele andere producten van deze producent. Er zijn op dit moment geen aanwijzingen dat andere producten van SolarWinds gecompromitteerd zijn. We houden de berichtgeving nauwlettend in de gaten en zullen u informeren indien er aanwijzingen zijn, dat de door Promax gebruikte producten van SolarWinds wel betrokken zijn.
Deze aanval heeft naar onze inschatting grote gevolgen en impact op de wijze waarop gekeken wordt naar de betrouwbaarheid en veiligheid van software. Hiermee wordt pijnlijk duidelijk dat een kwetsbaarheid in een gerenommeerd product ertoe kan leiden dat er een achterdeur ontstaat voor een aanvaller in uw organisatie.
In deze aanval heeft een malafide partij in de programmatuur van Orion een achterdeur geprogrammeerd waarmee de aanvaller zichzelf toegang kan verschaffen tot de systemen waar deze software gebruikt wordt. De malafide software is via het reguliere update mechanisme van Orion verspreid en daarmee geïnstalleerd bij alle gebruikers van het product.
Een vergelijkbare tactiek is een aantal jaar geleden toegepast tijdens de Not-Petya ransomware aanval. Hierbij is een update van een BTW aangifteprogramma voor Oekraïne aangepast om malware te verspreiden. Deze aanval heeft internationaal grote gevolgen gehad en heeft onder andere enkele containerterminals in de Rotterdamse haven meerdere dagen stil gelegd. Een dergelijke aanval wordt in de beveiligingswereld een “supply-chain attack” genoemd.
SolarWinds heeft inmiddels updates vrij gegeven waarmee de backdoor verwijderd wordt. Het blijft afwachten wat deze aanval voor verdere consequenties heeft voor de gebruikers van dit pakket. Wat is er bijvoorbeeld gedaan met de toegang die de aanvallers zichzelf hiermee verschaft hebben? Mocht u of een van uw leveranciers gebruik maken van SolarWinds Orion dan wordt geadviseerd om de beschikbare updates zo spoedig mogelijk te installeren. Het is bovendien raadzaam om in dat geval aanvullend onderzoek te laten doen.
Een deel van de gebruikte infrastructuur voor deze aanval is inmiddels overgenomen door de overheid. Hiermee is de kans op verder misbruik van deze malware gering en kunnen besmettingen gecoördineerd in kaart gebracht worden waardoor organisaties actief geïnformeerd zullen worden dat ze besmet zijn.
Onze security analisten hebben voor bestaande security monitoring klanten de detectie aangepast om malware, verspreid door deze aanval, te detecteren.
Mocht u nog vragen hebben naar aanleiding van dit bericht of ondersteuning nodig hebben, dan vernemen wij dat graag via security@promax.nl of
+31 (0)88 70 70 788
Wil je up-to-date blijven?
