Backdoor inserido na SolarWinds é distribuído para 13 mil clientes

Ainda é incerto a quantidade de empresas clientes afetadas.

Backdoor inserido na SolarWinds é distribuído para 13 mil clientes



Nas últimas semanas de dezembro foi descoberto outro grande ataque cibernético realizado contra empresas e governo americanos.

Desta vez foi a inserção de código dentro de aplicações de uma empresa de segurança que tem como clientes várias empresas americanas, incluindo Microsoft, Amazon e vários órgãos do governo.

Trata-se da conhecida SolarWinds, empresa de segurança para internet americana, que desenvolve várias aplicações, muitas delas conhecidas, como Orion, ipMonitor, Pingdom, Network Performance Monitor, Virtualization Manager, dentre outras.

A sofisticação foi grande.  A SolarWinds, cujo faturamento em 2019 foi de US$ 453 milhões, possui seus escritórios de desenvolvimento localizados na República Tcheca, Polônia e Bielo-Rússia, onde produzem um de seus softwares, chamado Orion, com diversos sub-componentes. 

Em março de 2020 foi introduzido um backdoor dentro do código do aplicativo, chamado de SUNBURST, que foi distribuído para cerca de 18 mil clientes da SolarWinds espalhados pelo mundo.  Dentre eles estão a Microsoft, Amazon e dezenas de empresas governamentais americanas.

As primeiras investigações começaram no final de dezembro, quando SolarWinds confirmou o problema, e o Departamento de Defesa Americano começou a identificar acessos da Rússia às empresas com a aplicação.

A verdade é que de março a dezembro, todas as empresas com o Orion e suas aplicações, ficaram vulneráveis a invasão. Segundo as mais recentes investigações, cerca de 250 redes governamentais foram acessadas.  A Microsoft, que registrou 40 vítimas até 17 de dezembro, alertou que os revendedores de seu software também foram atingidos. Uma avaliação realizada pela equipe de inteligência da Amazon descobriu que o número de vítimas pode ter sido cinco vezes maior do que o identificado inicialmente.

A SolarWinds afirmou apenas em um comunicado, que foi “vítima de um ataque cibernético altamente sofisticado, complexo e direcionado”.  E alertou seus usuários a atualizarem a aplicação com o código (https://www.solarwinds.com/securityadvisory).

Na verdade, o ataque foi descoberto em 8 de dezembro, por outra empresa de segurança, a FireEye.  Segundo informações iniciais, a FireEye começou a identificar as tentativas de acesso ao backdoor e relacionou estas tentativas ao funcionamento do Orion, posteriormente alertando as autoridades americanas.  Em 13 de dezembro, a FireEye disse que o ataque cibernético, batizado de UNC2452, não foi atribuído apenas à empresa, mas tinha como alvo várias “organizações públicas e privadas em todo o mundo”.

Se não fosse a FireEye, o backdoor estaria permanentemente integrado aos códigos da SolarWinds até o presente.

O ataque está sendo conhecido como ataque de "cadeia de suprimentos", pois em vez de atacar diretamente o governo ou a rede de uma organização privada, tem-se como alvo um fornecedor terceirizado, que fornece software para eles, e deles para outros clientes, criando uma rede de vulnerabilidades.

Segundo a própria SolarWinds, os produtos afetados foram:

Application Centric Monitor (ACM)
Database Performance Analyzer
Integration Module* (DPAIM*)
Enterprise Operations Console (EOC)
High Availability (HA)
IP Address Manager (IPAM)
Log Analyzer (LA)
Network Automation Manager (NAM)
Network Configuration Manager (NCM)
Network Operations Manager (NOM)
User Device Tracker (UDT)
Network Performance Monitor (NPM)
NetFlow Traffic Analyzer (NTA)
Server & Application Monitor (SAM)
Server Configuration Monitor (SCM)
Storage Resource Monitor (SRM)
Virtualization Manager (VMAN)
VoIP & Network Quality Manager (VNQM)
Web Performance Monitor (WPM)

Caso você possua uma destas aplicações instaladas, acesse imediatamente o site da SolarWinds e atualize sua versão.  Ou, desinstale-a.


Clique aqui para ver mais