Cómo identificar si te afecta el ataque a SolarWinds

ActualidadCorporateEDRSolarWindsSophos Managed Threat Response (MTR)
SolarWinds

SolarWinds, especialista en el monitoreo de TI, informó el domingo pasado que había sido víctima de un “ataque manual de cadena de suministro altamente sofisticado […] probablemente impulsado por parte de un estado “.

Los productos comprometidos son las versiones de SolarWinds Orion 2019.4 a 2020.2.1.

¿Cómo identificar si está ejecutando una versión de SolarWinds Orion afectada?

Los clientes de Sophos pueden identificar si están ejecutando una versión vulnerable de varias formas:

Clientes de Sophos MTR

El equipo de MTR está monitoreando activamente todos los entornos de clientes protegidos y ya se ha puesto en contacto directamente con los clientes afectados para discutir las medidas correctivas.

Clientes de Sophos EDR

Los clientes de EDR pueden ejecutar la siguiente consulta para buscar versiones afectadas (las actualizaciones se publicarán aquí):

SELECT
name,
version,
install_location,
publisher,
uninstall_string,
install_date
FROM programs where name like 'SolarWinds Orion%2020.2' or name like 'SolarWinds Orion%2020.2.1%' or name like 'SolarWinds Orion%2019.4%';

Además, los clientes de EDR pueden buscar los siguientes hashes de DLL SHA256 maliciosos: ·

  • 32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77
  • dab758bf98d9b36fa057a66cd0284737abf89857b73ca89280267ee7caf62f3b
  • eb6fab5a2964c5817fb239a7a5079cabca0a00464fb3e07155f28b0a57a2c0ed
  • c09040d35630d75dfef0f804f320f8b3d16a481071076918e9b236a321c1ea77
  • ac1b2b89e60707a20e9eb1ca480bc3410ead40643b386d624c5d21b47c02917c
  • 019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134
  • ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6
  • a25cadd48d70f6ea0c4a241d99c5241269e6faccb4054e62d16784640f8e53bc
  • d3c6785e18fba3749fb785bc313cf8346182f532c59172b69adfb31b96a5d0af
  • 019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134
  • ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6
  • 32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77
  • c15abaf51e78ca56c0376522d699c978217bf041a3bd3c71d09193efa5717c71

Cualquiera que no utilice Sophos EDR puede activar una prueba gratuita de 30 días y ejecutar la consulta en su entorno:

  • Si ya estás ejecutando Sophos Central, activa la prueba gratuita directamente desde tu consola. En “MÁS PRODUCTOS” en la navegación principal, selecciona “Pruebas gratuitas” y luego selecciona Intercept X Advanced con EDR, Intercept X Advanced para servidor con EDR o ambos.
  • Si no estás ejecutando Sophos Central, activa una prueba gratuita desde nuestro sitio web.

Todos los clientes de Sophos

SophosLabs ha publicado las siguientes detecciones anti-malware para los componentes SolarWinds comprometidos:

  • Mal / Sunburst-A
  • Troj / SunBurst-A
  • Troj / Agente-BGGA
  • Troj / Agente-BGGB
  • Troj / Agente-BGFZ

Si ves una o más de estas detecciones, estás expuesto a un posible ataque.

SophosLabs también ha publicado las siguientes detecciones para los componentes de puerta trasera conocidos de segunda etapa:

  • Mal / Sunburst-B
  • Troj / Agente-BGGC

Si ves una o más de estas detecciones, es probable que seas víctima de un ataque dirigido y debes tomar medidas adicionales.

Advertencia: comprueba tu configuración para ver si hay exclusiones de análisis. Consulta https://twitter.com/ffforward/status/1338785034375999491

SophosLabs también está publicando firmas IPS que identifican el tráfico de comando y control de las etapas de explotación activa del ataque. La lista de firmas IPS para monitorear en Sophos XG Firewall son:

  • 56662 – MALWARE-CNC Win.Backdoor.Sunburst intento de conexión entrante
  • 56660 – MALWARE-CNC Win.Backdoor.Sunburst intento de conexión saliente
  • 56665 – MALWARE-CNC Win.Backdoor.Sunburst intento de conexión saliente
  • 56661 – MALWARE-CNC Win.Backdoor.Sunburst intento de conexión saliente

Si ves una o más de estas detecciones de IPS, es probable que seas víctima de un ataque dirigido y deba tomar medidas adicionales.

Hemos bloqueado todos los indicadores de dominio e IP asociados.

También hemos revocado la confianza en el certificado SolarWinds comprometido utilizado en estos ataques.

Sophos Application Control detecta todas las versiones de SolarWinds Orion como “SolarWinds MSP Agent”. Application Control es una configuración opcional, consulta la Guía de ayuda para obtener instrucciones sobre cómo habilitarlo y agrega SolarWinds a la lista de aplicaciones que deseas bloquear.

SophosLabs continúa investigando el ataque y brindará protección adicional según sea necesario. Revisa esta página para obtener más actualizaciones.

Qué hacer si estás afectado

Si está ejecutando una versión comprometida, te recomendamos que aísles los servidores SolarWinds afectados de la red.

También recomendamos reconstruir todos los servidores SolarWinds afectados e instalar Orion Platform versión 2020.2.1 HF 2, que ya está disponible. Consulta https://www.solarwinds.com/securityadvisory para obtener más detalles.

En breve publicaremos más información sobre respuesta a incidentes. Ponte en contacto con tu equipo de seguridad o proveedor para obtener asesoramiento y asistencia cuando sea necesario.

Sophos y SolarWinds

Sophos es un cliente de SolarWinds. Hemos aislado las instancias y estamos investigando activamente este incidente. Proporcionaremos más actualizaciones en breve.

Estamos comprometidos en mantener a nuestros clientes y partners informados y protegidos y dado que las noticias sobre SolarWinds están copando titulares, es importante entender lo que esto significa para su organización. Le invitamos a unirse este viernes 18 de Diciembre a las 10:30 a nuestro webinar en directo realizado por Alberto R Rodas y conozca más acerca de SolarWinds. Regístrese aquí

 

Leave a Reply

Your email address will not be published.