Backdoor in SolarWinds Orion

Het NCSC heeft op 14 december op de website een high/high beveiligingsadvies gepubliceerd over kwetsbaarheden in SolarWinds Orion. Het gaat om versies 2019.4 HF 5, 2020.2 zonder hotfix en 2020.2 HF 1 die verspreid zijn tussen maart en juni 2020. Hier blijkt een trojan in te zitten waarmee kwaadwillenden toegang kunnen verkrijgen tot de systemen waar deze versies op zijn geïnstalleerd.

De SolarWinds Orion software wordt ook door Nederlandse organisaties gebruikt. Het NCSC onderzoekt, samen met relevante organisaties, wat eventuele gevolgen kunnen zijn. We adviseren om de uitgebrachte updates van SolarWinds Orion zo spoedig mogelijk te installeren. 

Duiding

De gemanipuleerde versies worden misbruikt door kwaadwillenden om toegang te krijgen tot zeer gerichte doelen. De trojan in SolarWinds Orion wordt op dit moment actief misbruikt, voornamelijk in de Verenigde Staten. Het is echter mogelijk dat de kwetsbare versies onbedoeld ook in andere infrastructuren zijn geïmplementeerd. Gecompromitteerde infrastructuren staan daarmee volledig onder controle van kwaadwillenden en deze zijn in staat om willekeurige code uit te voeren of toegang te krijgen tot gevoelige gegevens.

Advies

SolarWinds heeft een lijst vrijgegeven van de subset van Orion producten die geraakt zijn door de trojan. SolarWinds adviseert:

  • gebruikers van versie 2019.4 HF 5 om te updaten naar 2019.4 HF 6.
  • gebruikers van versie 2020.2 zonder hotfix of van versie 2020.2 HF 1 om te updaten naar versie 2020.2.1. HF 2.
  • om mitigerende maatregelen toe te passen indien updaten niet mogelijk is. Welke dit zijn, kunt u vinden op de website van SolarWinds

Het NCSC adviseert om de updates zo spoedig mogelijk te installeren en de mitigerende maatregelen op de website te evalueren, deze waar mogelijk te implementeren en te monitoren op verdacht verkeer. Het NCSC houdt de ontwikkelingen nauwgezet in de gaten.