14.12.2020 14:19

Backdoor in SolarWinds Orion

Nach einem erfolgreichen Angriff auf den IT-Security-Dienstleister FireEye in der vergangen Woche, wurden neue Informationen zu dem Vorfall veröffentlicht.

Wie nun bekannt wurde, erfolgten die Angriffe mittels einer sogenannten "Supply-Chain-Attack"; sowohl SolarWinds als auch FireEye berichten, dass die AngreiferInnen bei einem erfolgreichen Angriff auf SolarWinds eine Hintertür in Updates für das Produkt "SolarWinds Orion" eingeschleust haben. Betroffen sind laut Hersteller die Orion-Updates von März bis Juni 2020, diese waren mit dem legitimen Zertifikat des Herstellers signiert und wurden über den normalen Update-Prozess an Benutzer ausgeliefert.

SolarWinds hat bereits ein Update (Version 2020.2.1 HF 1) und auch Workarounds im eigenen Security Advisory veröffentlicht. Ein weiteres Update (Version 2020.2.1 HF 2) wird für Dienstag 15.12.2020 angekündigt. Microsoft und FireEye haben inzwischen auch Details incl. IOCs veröffentlicht.

Kunden von SolarWinds wird dringend geraten, nach den bekannten IOCs in der eigenen Infrastruktur zu suchen.

SANS hat in einem Blog-Beitrag mit ersten Schritten für Betroffene außerdem ein Webcast mit einer Zusammenfassung zum aktuellen Wissensstand für heute, Montag 14.12.2020, um 22:00 Uhr  UTC angekündigt.