V oblasti IT se dnes drtivá většina společností chrání před kyberkriminálníky různými způsoby, nejčastěji nasazením jednoho či více bezpečnostních produktů. Může se však stát, že některý z těchto produktů bude napaden útočníky a stane se tak sám nebezpečný a chráněnou síť ohrozí? Bohužel musíme konstatovat, že stát se to může a historie již pamatuje několik takových případů.
Jedním z takových je případ z konce loňského roku, kdy vyšlo najevo že software pro vzdálenou správu stanic a serverů SolarWinds Orion byl napaden a útočníci využili jeho schopnosti šířit spustitelný kód a namísto updatů a záplat šířili malware. CISA (Cybersecurity & Infrastructure Security Agency) vydala 13. prosince 2020 direktivu v níž varuje před tímto bezpečnostním rizikem a nařizuje všem federálním úřadům ve Spojených státech okamžitou reakci, kromě okamžité kontroly, zda již nedošlo k útoku, tak také nejčastěji okamžité vypnutí platformy SolarWinds Orion. Seznam napadených institucí je docela impozantní, jsou zde i velmi dobře známá jména jako například US Pentagon, NASA, NSA a další.
Zde si dovolím jednu vsuvku – malware nazvaný Sunburst napadl pouze platformu SolarWinds Orion, nikoliv ostatní produkty z rodiny SolarWinds jako je například SolarWinds MSP N-Central a RMM. Více detailů můžete najít na tomto odkazu: https://www.solarwinds.com/securityadvisory
Jak takový útok prostřednictvím bezpečnostního produktu probíhá? Narušení systému SolarWinds Orion se sestává z několika úrovní. Serverová část platformy Orion se pravidelně aktualizuje z aktualizačních serverů. Právě tyto servery byly napadeny útočníky jako první a těm se podařilo na ně umístit škodlivý kód a tím jej zpřístupnit nic netušícím organizacím ke stažení. Po průniku do sítě obětí se útočníci vyhýbali detekci několika způsoby, prvním z nich je pozdržení jakékoliv akce, tedy kód se neaktivoval ihned, ale s odstupem 2 týdnů. Dále byli útočníci schopni kód digitálně podepsat a schovat v knihovně nazvané BusinessLayer.dll. A v neposlední řadě tento kód používá několik technik na detekci, zda není spuštěn v sandboxu. Obvykle mu postačí vyzkoušet „ping“ na známé síťové segmenty pro ověření, zda existují, a také na vlastní „základnu“.
Doposud se jednalo o klasické prolomení do sítě SolarWinds Orion a sítí jeho zákazníků. Avšak v tuto chvíli si musíme uvědomit, že se útočník ocitl doslova ve správnou chvíli na správném místě. Software, jenž je určen pro správu počítačů v síti, jejich aktualizace a instalaci případně deinstalaci aplikací, musí nutně disponovat dostatečně vysokými oprávněními například v podobě lokálního nebo doménového administrátora. A náš útočník má nyní tento software v tuto chvíli plně k dispozici a může tedy do všech zařízení ve spravované síti instalovat jakýkoliv další kód a samozřejmě jej také spouštět. Tím může začít konečná fáze útoku, jež se bude lišit oběť od oběti, útočník se bude rozhodovat dle zjištěných informací, čím pro něj síť oběti bude zajímavá.
Možná si nyní pomyslíte, že být v situaci oběti, tak postačí prosté vypnutí platformy Orion a nebezpečí již nebude hrozit. To však je velký omyl, neboť pokud útočník došel až do té fáze, kdy již plně síť kontroloval, mohl na libovolné další počítače nainstalovat jakýkoliv dodatečný kód a tím pádem ani vypnutí platformy pro správu jej nebezpečí nezbaví. Je třeba jednat proaktivně a proskenovat celou síť na přítomnost nebezpečného kódu.
Na situaci s kompromitací platformy Orion již zareagovali i ostatní výrobci a například společnost GFI přidala do svého produktu GFI LanGuard schopnost detekovat zranitelnosti způsobené touto kompromitací. A nejen to, LanGuard od GFI má velmi podobné schopnosti jako SolarWinds Orion, tedy možnost patch managementu, síťového auditu a navíc přidává právě schopnost skenování zranitelností na všech zařízeních v síti. Velmi pozitivní je přístup výrobce který poskytuje funkčně neomezenou zkušební verzi na 30 dní. Ve výchozím stavu je zkušební verze omezena na 25 IP adres, avšak jednoduchou žádostí u výrobce lze rozšířit podporu až na 10 tisíc zařízení.
Takto velkorysá nabídka jistě umožní všem společnostem postiženým zranitelností platformy Orion vyčistit jejich síť a zůstat plně chráněni po celou dobu.
Článek byl zveřejněn v časopise IT Systems č. 1-2/2021.
