SolarWinds anuncia ataque de cadena de suministro “altamente sofisticado”

Un ataque de cadena de suministro  —tipo de amenaza que permite afectar a los clientes de la empresa que se está infectando— informó hoy haber sufrido la empresa SolarWinds, lo que fue confirmado además por entidades como Microsoft, FireEye y la Agencia de Ciberseguridad e Infraestructura de EE.UU.

Los ciberdelincuentes infectaron actualizaciones de su software de monitoreo de redes Orion publicadas entre marzo y junio (versiones 2019.4 HF 5, 2020.2. sin revisión instalada y 2020.2 HF 1) con un malware llamado Sunburst, detalló la compañía. SolarWinds solicitó a sus clientes actualizar Orion inmediatamente a su versión 2020.2.1 HF 1.

Una nueva actualización de emergencia será lanzada mañana 15 de diciembre, llamada 2020.2.1 HF 2, la que reemplazará el componente comprometido y agregará nuevas funcionalidades de seguridad.

Sin especificar responsables, SolarWinds calificó al ataque como “un ataque de cadena de suministro altamente soficsticado y dirigido, realizado por un estado nación”.

El ataque está relacionado con el que afectó a la firma FireEye y que esta comunicó la semana pasada, cuando informó del robo de herramientas de Red Team y explicó que las vulnerabilidades explotadas eran todas ya conocidas.

Medios estadounidenses indican que habría varias agencias gubernamentales afectadas, como el Departamento del Tesoro y la NTIA, provocando una reunión del Consejo de Seguridad Nacional de EE.UU.

Según diversos expertos, detrás de los ataques estarían asociados al APT29, aunque FireEye decidió darle el nombre UNC2452.

CSIRT elaboró un informe con recomendaciones y los Indicadores de Compromiso liberados por FireEye y Microsoft, el cual se encuentra disponible en el siguiente enlace: 10CND20-00045-01