Llegamos a ustedes gracias a:



Alertas de Seguridad

Troyano SolarWinds

Las empresas afectadas deben usar parches y aislar los equipos comprometidos

[28/12/2020] La aplicación de parches y el aislamiento de los recursos potencialmente afectados están en el programa de respuesta de TI, ya que las empresas que emplean el software de monitorización de red SolarWinds Orion buscan limitar el impacto del grave troyano desatado en la plataforma.

El ataque a la cadena de suministro, del que informó Reuters la semana pasada y que detallaron los investigadores de seguridad de FireEye y Microsoft, implica que un posible actor sofisticado patrocinado por el Estado obtuvo acceso a una amplia variedad de redes gubernamentales, públicas y privadas a través de actualizaciones troyanas del software de supervisión y gestión de la red Orion de SolarWind. Esta campaña puede haber comenzado ya en el otoño del 2020 y está en curso, según FireEye y otros.

"SolarWinds confirmó que menos de 18 mil de sus 300 mil clientes han descargado la actualización comprometida", declararon los investigadores de Talos, la rama de investigación de seguridad de Cisco. "Aun así, los efectos de esta campaña son potencialmente asombrosos, ya que los productos de la compañía son utilizados por varias entidades de alto valor. Entre las víctimas se encuentran agencias gubernamentales y empresas de consultoría, tecnología, telecomunicaciones y petróleo y gas de América del Norte, Europa, Asia y Oriente Medio, según FireEye. Varios informes también indican que los departamentos del Tesoro y de Comercio de EE.UU. también fueron blanco de lo que probablemente esté relacionado con la misma actividad".

En respuesta al ataque, SolarWinds ha emitido un parche. A partir de esta publicación, SolarWinds declaró: "Se prevé que se publique un parche adicional, 2020.2.1 HF 2, el martes 15 de diciembre del 2020. Recomendamos a todos los clientes que se actualicen a la Plataforma Orión 2020.2.1 HF 2 una vez que esté disponible, ya que la publicación 2020.2.1 HF 2 reemplaza el componente comprometido y proporciona varias mejoras de seguridad adicionales".

"Hemos escaneado el código de todos nuestros productos de software en busca de marcadores similares a los utilizados en el ataque a nuestros productos de la Plataforma Orion y no hemos encontrado evidencia de que otras versiones de nuestros productos de la Plataforma Orion o nuestros otros productos contengan esos marcadores. Por lo tanto, no tenemos conocimiento de que otras versiones de los productos de la Plataforma Orion hayan sido impactadas por esta vulnerabilidad de seguridad. Tampoco sabemos que otros productos que no son de la Plataforma Orion se hayan visto afectados por esta vulnerabilidad de seguridad", señaló SolarWinds en su aviso.

Los expertos dicen que los clientes tienen varias opciones para tratar con el troyano.

"El aislamiento es la estrategia que estamos defendiendo ante los clientes en este momento", comentó John Pironti, presidente de la consultoría IP Architects. "La mayor parte de lo que SolarWinds hace es monitorizar, no necesariamente un servicio de red central, por lo que aislar esos recursos es menos impactante. La complicación estaría en las empresas que tienen características de automatización profundas; eso sería más difícil de aislar durante períodos de tiempo más largos".

El problema es que los hot fixes no son parches, por lo que habrá uno hoy y tal vez otro el viernes, por lo que las empresas tienen que seguir haciendo cambios que podrían impactar en otros recursos, anotó Pironti. "Lo que se necesita es un parche completamente revisado".

La Agencia de Ciberseguridad y Seguridad de la Infraestructura del gobierno llevó sus advertencias más allá al instruir a las agencias federales a través de la Directiva de Emergencia 21-01 a "desconectar o apagar inmediatamente los productos SolarWinds Orion, versiones 2019.4 a 2020.2.1 HF1, de su red".

"Hasta ese momento, CISA ordena a las entidades afectadas que reconstruyan el sistema operativo Windows y reinstalen el paquete de software SolarWinds, las agencias tienen prohibido (re)unir el sistema operativo anfitrión Windows al dominio empresarial". Las entidades afectadas deben esperar más comunicaciones de CISA y esperar orientación antes de reconstruir desde fuentes de confianza utilizando la última versión del producto disponible. Además, las agencias deberían bloquear todo el tráfico hacia y desde los hosts, externos a la empresa, en los que se haya instalado cualquier versión del software SolarWinds Orion.  Además, identificar y eliminar todas las cuentas controladas por los actores de la amenaza y los mecanismos de persistencia identificados".

También se recomiendan otras mitigaciones.  Por ejemplo, la sugerida por Microsoft:

  • Ejecutar productos antivirus o EDR actualizados que detecten las librerías comprometidas de SolarWinds, y el comportamiento potencialmente anómalo de los procesos de estos binarios. Considere la posibilidad de desactivar SolarWinds en su entorno por completo hasta que esté seguro de que dispone de una compilación fiable y libre de código inyectado.
  • Bloquee los puntos finales conocidos de [comando y control] en [indicadores de compromiso] utilizando su infraestructura de red.
  • Siga las mejores prácticas de su proveedor de tecnología de federación de identidades para asegurar sus claves de firma de tokens SAML. Considere la seguridad de hardware para sus certificados de firma de testigo SAML si su proveedor de tecnología de federación de identidad lo admite.
  • Asegúrese de que las cuentas de usuario con derechos administrativos sigan las mejores prácticas, incluyendo el uso de estaciones de trabajo con acceso privilegiado, JIT/JEA y autenticación fuerte. Reducir el número de usuarios que son miembros de Roles de Directorio altamente privilegiados, como Administrador Global, Administrador de Aplicaciones y Administrador de Aplicaciones en la Nube.

CISA recomendó "reimaginar la memoria del sistema y/o los sistemas operativos del host que albergan todas las instancias de SolarWinds Orion versiones 2019.4 a 2020.2.1 HF1, y analizar en busca de nuevas cuentas de usuario o de servicio, así como identificar la existencia de "SolarWinds.Orion.Core.BusinessLayer.dll" y "C:\WINDOWS\SysWOW64\nnetsetupsvc.dll".  También decía que restableciera las credenciales utilizadas por el software de SolarWinds e implementara una política de rotación para estas cuentas. Requiere contraseñas largas y complejas.

Los analistas de KuppingerCole sugirieron un plan de acción estratégico para la seguridad general de la cadena de suministro. John Tolbert, analista principal y director general de KuppingerCole dijo que los clientes deberían empezar a centrarse en la seguridad de la cadena de suministro, específicamente: 

  • No haga una lista blanca de las herramientas de seguridad de los escaneos anti-malware
  • No haga una lista blanca de supuestas IPs/URLs de nubes de vendedores de seguridad de escaneos NTA/NDR
  • Actualizar los procesos empresariales
  • Esperar nuevas regulaciones para abordar la seguridad cibernética de la cadena de suministro
  • Haga de la caza de amenazas una actividad continua (si no tiene las herramientas para esto, consígalas)
  • Evite usar contraseñas en cualquier lugar. Utilice la autenticación multifactorial FA siempre que sea posible
  • Utilizar la gestión de acceso privilegiado para todas las cuentas de administración y de servicio