SolarWinds Orion Platform -hallintatyökalusta löydetty takaovi | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

SolarWinds Orion Platform -hallintatyökalusta löydetty takaovi

14. joulukuuta 2020 klo 12.27, päivitetty 28. joulukuuta 2020 klo 10.33

IT-infrastruktuurin keskitettyyn valvontaan ja hallintaan käytetystä SolarWinds Orion Platform -hallintatyökalusta on löydetty tunkeutumisen mahdollistava takaovi. Hallintatyökalussa on myös ohjelmointirajapinnan tunnistautumisen ohittamisen mahdollistava haavoittuvuus.

Sunburst-haavoittuvuus mahdollistaa takaoven avulla etänä lähetettävät komennot palvelimille, jotka käyttävät haavoittuvia versioita. Tunnettu uhkatoimija on käyttänyt takaovea aktiivisesti hyväkseen Yhdysvalloissa.

Paikallinen tietoturvaviranomainen CISA on julkaissut hätädirektiivin jossa se kehoittaa ryhtymään välittömiin toimenpiteisiin haavoittuvuuden suhteen. CISA julkaisee hätädirektiivejä ainoastaan silloin, kun haavoittuvuudella on arvioitu olevan erittäin vakavia seurauksia.

27.12 SolarWinds on julkaissut päivityksen tiedotteeseensa hallintatyökalun toisesta haavoittuvuudesta. Ohjelmointirajapinnan (engl. Application Programming Interface, API) tunnistautumisen ohittamiseen käytetty haittaohjelma on saanut nimekseen Supernova. 

Haavoittuvuuden kohde

Takaovi on löydetty SolarWinds Orion Platform -versioista: 2019.4 HF 5 - 2020.2.1.
Supernova-haittaohjelma on myös havaittu samoista versioista ja sen korjaavat toimenpiteet ovat samat kuin takaovella eli Sunburstissa.

SolarWinds kehoittaa asiakkaitaan päivittämään Orion Platform -työkalun versioon 2020.2.1 HF 2 mahdollisimman pian, sillä päivitys korjaa vaarantuneen komponentin ja tarjoaa useista turvallisuusominaisuuksien parannuksia.

SolarWinds on julkaissut toisen korjaavan päivityksen (2020.2.1 HF 2) tiistaina 15.12.2020.

SolarWinds kehoittaa päivittämään Orion Platform v2019.4 HF 5:n versioon 2019.4 HF 6.

On mahdollista, että ohjelmistolisenssi tulee synkronoida ennen päivityksen asentamista. 

Mistä on kysymys?

Mikäli päivittäminen ei ole mahdollista, rajoituskeinona suositellaan estämään SolarWinds Orionin yhteydet organisaation ulkopuolelle.

SolarWinds: SolarWinds Security Advisory (ulkoinen linkki)
FireEye: Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor (ulkoinen linkki)
DHS: Mitigate SolarWinds Orion Code Compromise (ulkoinen linkki)
MSRC: Customer Guidance on Recent Nation-State Cyber Attacks (ulkoinen linkki)

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

17. joulukuuta 2020 klo 12.51 17.12.2020 Päivitetty haavoittuvuuden rajoittamiskeinoja.