Atlantic.Net proporciona este mensaje de aviso de seguridad como noticia; queremos asegurar a nuestros clientes que Atlantic.Net no utiliza ningún producto de SolarWinds internamente ni como parte de ninguna de nuestras ofertas de servicios.
El 13 de diciembre de 2020, la organización de seguridad cibernética FireEye dio a conocer noticias sobre una importante brecha de seguridad en SolarWinds Corporation. SolarWinds es un gigante tecnológico con sede en Texas que se ha convertido en un actor dominante en la supervisión de servidores y la gestión de redes con su línea de productos de software Orion. Atiende a 300 000 clientes en todo el mundo y cuenta con la confianza de varias organizaciones e instituciones gubernamentales de alto perfil.
Los expertos en seguridad cibernética creen que un ciberataque sofisticado, posiblemente ruso, patrocinado por el estado violó la infraestructura de SolarWinds e impactó a muchos de los clientes de la compañía. Los expertos creen que SolarWinds fue violado en la primavera de 2020, pero es posible que el trabajo preliminar para el ataque haya comenzado mucho antes.
Según los informes, empresas globales como VMware, Intel, Microsoft y Cisco se ven afectadas por el ataque, así como las cinco ramas del ejército de EE. UU., la administración nacional de seguridad nuclear, el Pentágono, el Departamento de Estado y la Oficina del Presidente de EE. UU. los Estados Unidos.
El truco fue increíblemente sofisticado. Los piratas informáticos pudieron obtener acceso a los sistemas internos de SolarWinds y comprometer sus actualizaciones de software oficiales de Orion con “troyanizado” actualizaciones de malware. Esto permitió a los piratas disfrazar las actualizaciones comprometidas como actualizaciones legítimas de Orion aprobadas por SolarWinds. Se cree que hasta 18.000 clientes de SolarWinds descargaron el malware. Este es, sin lugar a dudas, un lapso de seguridad enorme, increíble y bastante impactante en una empresa valorada en alrededor de $ 5 mil millones.
FireEye, la compañía de seguridad cibernética que identificó por primera vez la brecha, dijo que el ataque les dio a los intrusos “la capacidad de transferir archivos, ejecutar archivos, perfilar el sistema, reiniciar la máquina y deshabilitar los servicios del sistema. El malware enmascara su tráfico de red como el protocolo del Programa de mejora de Orion (OIP) y almacena los resultados del reconocimiento en archivos de configuración de complementos legítimos, lo que le permite mezclarse con la actividad legítima de SolarWinds”.
Una vez que las víctimas lo instalaron, los piratas informáticos utilizaron parte del marco del software Orion, específicamente una vulnerabilidad API HTTP en un archivo llamado SolarWinds.Orion.Core.BusinessLayer.dll. El exploit les permitió ejecutar "trabajos" remotos en cualquier servidor comprometido y atravesar la red de la víctima utilizando privilegios de "modo dios" para comprometer cualquier servidor conectado y realizar el robo de datos.
Symantec y Palo Alto Networks informaron que las cargas útiles secundarias conocidas como Teardrop y Supernova se implementaron contra "objetivos de interés". Teardrop incorpora el malware Cobalt Strike Beacon que intenta robar credenciales, hackear Active Directory y robar datos.
Como esta noticia salió a la luz recientemente, la escala del impacto aún no se conoce por completo, pero muchas empresas se están preparando para investigar el impacto de la violación de datos. Hasta el momento, nadie sabe exactamente qué datos han sido robados, aunque el gobierno puede tener alguna idea. Esto podría convertirse en el peor ataque cibernético de la historia cuando se entienda el verdadero alcance de esta violación y sus consecuencias.
Lo que hizo que este ataque fuera tan insidioso fue el vector de ataque utilizado:la cadena de suministro de SolarWinds. SolarWinds no era el objetivo final, pero están fuertemente integrados y cuentan con la confianza de entidades gubernamentales y organizaciones de alto perfil. Este tipo de ataque se conoce como Amenaza Persistente Avanzada (APT) y el método de ataque no es más que un caballo de Troya; específicamente, se conoce como un troyano de acceso remoto (RAT) porque apuntaba a los datos de los usuarios y los secretos de la empresa.
Acciones recomendadas
SolarWinds ha identificado las actualizaciones de Orion infectadas y ha publicado información sobre ellas aquí. Los usuarios deben verificar si se instalaron las versiones 2019.4 HF5 actualizadas de Orion Platform entre marzo y junio de 2020. Recomendaron que todos los usuarios de Orion se actualicen a la versión 2020.2.1 Hot Fix 2 de Orion Platform.
Los usuarios deben verificar sus redes en busca de evidencia de estar comprometida. Escanee en busca de dos identificadores clave:el uso del malware en memoria Teardrop para colocar Cobalt Strike Beacon y los nombres de host de su organización. Si se violan, los nombres de host pueden descubrir direcciones IP maliciosas utilizadas por los atacantes.
Atlantic.Net también ofrece este consejo adicional sobre las mejores prácticas de ciberseguridad:asegúrese de utilizar algún tipo de administrador de contraseñas local. Si aún no lo ha hecho, use alguna forma de autenticación de múltiples factores, instálela urgentemente en su red. Hay varias opciones disponibles, incluidas versiones con licencia de pago o de código abierto. Nunca use la misma contraseña en toda su organización, aplique una política de contraseña estricta y aplique una estrategia de contraseña compleja.
Una teoría que circula sobre cómo los piratas informáticos gestionaron el compromiso inicial postula que lograron el acceso mediante el uso de nombres de usuario y contraseñas internos para SolarWinds que se encontraron incrustados en los repositorios de código públicos de GitHub. La teoría de la contraseña "Solarwinds123" puede tener algún mérito y, de ser cierta, señala con el dedo las malas prácticas de seguridad arraigadas dentro de SolarWinds.
No podemos predecir las consecuencias de esta brecha, pero es probable que tenga serias ramificaciones globales. Es probable que este incidente obligue a las organizaciones estadounidenses a realizar una auditoría de pies a cabeza de sus entornos de red. Sin duda, SolarWinds perderá muchos clientes debido a esta infracción de alto perfil y puede esperar enormes multas reglamentarias. Es posible que incluso reciban multas por infringir el RGPD, ya que muchos clientes de SolarWinds se encuentran dentro de la Unión Europea.
Esperamos que la administración de los EE. UU. renueve el protocolo de seguridad cibernética a raíz de este ataque, especialmente si resulta ser un ataque patrocinado por el estado de Rusia. El gobierno de EE. UU. ya cuenta con una plataforma de seguridad cibernética que está diseñada para frustrar este tipo de ataque conocido como EINSTEIN 3. Parecería que este sistema desconocía por completo este ataque.
Si su empresa está preocupada por la ciberseguridad, no dude en comunicarse con Atlantic.Net. Somos especialistas en servicios gestionados, alojamiento en la nube y cumplimiento de HIPAA. La seguridad de nuestra infraestructura es de suma importancia y trabajamos arduamente para garantizar que contamos con los mejores procesos de seguridad. Este ciberataque pasará a la historia como uno de los peores de la historia, nos preocupamos por nuestros amigos de la industria que podrían verse afectados por esto. Los clientes de SolarWinds no han hecho nada malo; compraron una suite de administración de servidores líder en la industria de una empresa de confianza y ahora, debido a una incompetencia de seguridad desconocida, cada cliente se ha puesto en riesgo sin culpa propia. Póngase en contacto hoy.