Alert GCSA-20120 - Possibili vulnerabilita' collegate al caso Solarwinds Orion

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

**************************************************************************

Alert ID: GCSA-20120
Data: 18 dicembre 2020
Titolo: Possibili vulnerabilita' collegate al caso Solarwinds Orion

**************************************************************************


Alert per possibili vulnerabilita' collegate ad una compromissione da parte di
un gruppo APT (Advanced Persistent Threat) - Caso Solarwinds Orion

Un gruppo APT (Advanced Persistent Threat) ha portato a termine varie
compromissioni verso agenzie governative statunitensi, infrastrutture critiche
ed aziende private, a partire almeno da marzo 2020.
Si prevede che la rimozione di questo aggressore dagli ambienti compromessi
sara' estremamente complessa e impegnativa per le organizzazioni colpite.
Uno dei vettori di accesso per realizzare l'intrusione e' stata la
compromissione della supply chain del prodotto SolarWinds Orion,
tramite l'inserimento di codice malevolo.
Oltre a questo, vi sono prove di altri vettori di accesso utilizzati; tuttavia
questi sono ancora oggetto di indagine.

L'aggressore ha operato in modo meticoloso e paziente, scegliendo i target
in modo mirato.
SolarWinds Orion e' una suite software di gestione della rete aziendale che
include il monitoraggio delle prestazioni e delle applicazioni e la gestione
della configurazione di rete insieme a diversi tipi di strumenti di analisi.
Il malware e' altamente sofisticato; tra le tecniche attuate, maschera e
commuta velocemente le comunicazioni per sfuggire al rilevamento.
Sono particolarmente evolute anche le azioni condotte dagli aggressori per
insidiarsi in modo persistente nelle organizzazioni.

A questo link (Appendix B) e' disponibile un elenco di IoC (Indicators of
Compromise):

https://us-cert.cisa.gov/ncas/alerts/aa20-352a

che possono essere forniti al proprio firewall/IPS per intercettare
attivita' e connessioni sospette.


::Riferimenti

https://us-cert.cisa.gov/ncas/current-activity/2020/12/13/active-exploitation-solarwinds-software
https://us-cert.cisa.gov/ncas/alerts/aa20-352a
https://cyber.dhs.gov/ed/21-01/

https://www.geekwire.com/2020/microsoft-says-internal-probe-finds-malicious-solarwinds-code-no-sign-impact-yet/

https://krebsonsecurity.com/2020/12/u-s-treasury-commerce-depts-hacked-through-solarwinds-compromise/
https://krebsonsecurity.com/2020/12/solarwinds-hack-could-affect-18k-customers/
https://krebsonsecurity.com/2020/12/malicious-domain-in-solarwinds-hack-turned-into-killswitch/

https://thehackernews.com/2020/12/us-agencies-and-fireeye-were-hacked.html
https://thehackernews.com/2020/12/nearly-18000-solarwinds-customers.html
https://thehackernews.com/2020/12/solarwinds-issues-second-hotfix-for_15.html
https://thehackernews.com/2020/12/new-evidence-suggests-solarwinds.html
https://thehackernews.com/2020/12/microsoft-says-its-systems-were-also.html

https://www.securityweek.com/us-investigating-computer-hacks-government-agencies
https://www.securityweek.com/us-government-confirms-cyberattack
https://www.securityweek.com/industry-reactions-fireeye-breach-feedback-friday
https://www.securityweek.com/solarwinds-says-18000-customers-may-have-used-compromised-product
https://www.securityweek.com/group-behind-solarwinds-hack-bypassed-mfa-access-emails-us-think-tank
https://www.securityweek.com/solarwinds-removes-customer-list-site-it-releases-second-hotfix
https://www.securityweek.com/killswitch-found-malware-used-solarwinds-hack
https://www.securityweek.com/little-known-solarwinds-gets-scrutiny-over-hack-stock-sales
https://www.securityweek.com/fbi-cisa-odni-describe-response-solarwinds-attack
https://www.securityweek.com/supply-chain-attack-cisa-warns-new-initial-attack-vectors-posing-grave-risk
https://www.securityweek.com/continuous-updates-everything-you-need-know-about-solarwinds-attack
https://www.securityweek.com/microsoft-energy-department-and-others-named-victims-solarwinds-attack

https://blog.qualys.com/vulnerabilities-research/2020/12/09/theft-of-cybersecurity-tools-fireeye-breach


-----BEGIN PGP SIGNATURE-----

iF0EARECAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCX90GGwAKCRDBnEyTZRJg
Qr3BAJ4pwyQhO3qCFYvQz2bsmXX9MLDdTgCeOEHuZ5yhPQCaJM6k4ws1QY3+Cyg=
=aciT
-----END PGP SIGNATURE-----