Cos’è SolarWinds?
SolarWinds è una suite di strumenti di monitoraggio e gestione IT comune che vengono creati per i SysAdmins e network engineers
Cos’è l’attacco basato su SolarWinds?
L’attacco basato su Solar W permette agli attaccanti di fare dei movimenti laterali nelle aziende, basandosi su comunicazioni API con C&C esterni.
Questa violazione è abilitata dalla comunicazione API effettuata dal codice incorporato in SolarWinds console installata (agente), con gestione cloud SolarWinds.
Ci sono state due fasi nel processo di attacco:
1. Backdoor Sunburst
Attacco inside-out: l’agente di solarwind orion (con la backdoor) ha avviato la comunicazione con C&C tramite chiamate API in uscita verso una zona di dominio specifica. Le chiamate sono state offuscate al massimo per rendere più difficile il rilevamento.
https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages- solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
Comunemente le aziende di sicurezza si stanno concentrando sul rilevamento della comunicazione APT attraverso questo canale, tuttavia, manca quella comunicazione.
2. Supernova webshell:
Attacco dall’esterno: il C&C ostile invia messaggi dannosi agli endpoint dell’API HTTP dell’agente Solarwinds. Il payload dannoso include comandi della shell che sono codificati in modo personalizzato, impedendo così il rilevamento da parte dei WAF standard. https://unit42.paloaltonetworks.com/solarstorm-supernova/
L7D è focalizzato su questo canale e può avvisare con successo su tale comunicazione come descritto nella sezione successiva.
Questa direzione è meno protetta da altri fornitori.
Rilevamento di SolarWinds da L7 Defense (L7D)
1. L7 AmmuneTM individua e cataloga automaticamente e sempre le API tramite l’analisi del traffico. L’analisi viene eseguita sui parametri dell’interfaccia API e sulle caratteristiche dei parametri, nonché sulla risposta dell’output e sulle caratteristiche della sessione. Tiene traccia anche delle origini e delle identità (se applicabile) delle chiamate API sulla risoluzione dell’endpoint API.
2. Avvisi L7D AmmuneTM su:
– Nuove API trovate nel tempo
– Modifica dell’interfaccia API già registrata
– Cambiamenti importanti nelle caratteristiche dell’input
– Cambiamenti importanti nelle caratteristiche dell’output – Avvio IP insolito della comunicazione
3. Poiché l’API di Orion è ben documentata, il suo derivato appena modificato avrebbe evidenziato almeno i seguenti avvisi:
– Modifica nell’interfaccia API già registrata
– Avviso di decodifica sconosciuto per il contenuto codificato trovato nella richiesta
– Avviso di decodifica sconosciuto per il contenuto codificato trovato nella risposta
– Inizio della comunicazione IP di origine insolita
Conclusione:
L’attacco SolarWinds è la conferma dell’importanza di proteggere le API, anche interne o di terze parti. Molte vulnerabilità critiche sono già note oggi relative alla comunicazione API con le interfacce di gestione dei provider di rete e sicurezza (F5, Cisco, Citrix, Juniper ecc.) che consentono un tipo di attacco simile *.
L’implementazione di AmmuneTM può ridurre drasticamente questo rischio.
*Non sappiamo quanto clienti abbiano applicato le contromisure consigliate per diminuire i rischi di sicurezza
Commentaires