SolarWinds Sunburst
Was ist SolarWinds Sunburst?
SolarWinds SunburstLieferketten-Angriff aus dem Jahr 2020, bei dem die Backdoor Sunburst in SolarWinds-Orion-Updates eingeschleust wurde und US-Behoerden sowie globale Unternehmen kompromittierte.
Sunburst ist die zwischen Maerz und Juni 2020 in SolarWinds Orion eingebaute Backdoor, die FireEye im Dezember 2020 entdeckte. Angreifer kompromittierten die Build-Pipeline von SolarWinds und schleusten Schadcode in legitim signierte Orion-Updates, die anschliessend an rund 18.000 Organisationen ausgeliefert wurden. Eine Teilmenge, darunter die US-Ministerien fuer Finanzen, Handel, Justiz und Heimatschutz, FireEye und Microsoft, wurde per TEARDROP- und Cobalt-Strike-Implantaten gezielt weiterkompromittiert. US-Behoerden schrieben die Kampagne UNC2452 / APT29 (SVR) zu. Der Vorfall loeste umfassende Reformen der Software-Lieferkettensicherheit aus, darunter SBOMs und signierte Builds.
● Beispiele
- 01
Ein Orion-Server beacont avsvmcloud.com und erhaelt einen Cobalt-Strike-Payload als zweite Stufe.
- 02
Eine Behoerde baut ihre Orion-Installation von sauberen Medien neu auf und tauscht alle SAML-Signierzertifikate.
● Häufige Fragen
Was ist SolarWinds Sunburst?
Lieferketten-Angriff aus dem Jahr 2020, bei dem die Backdoor Sunburst in SolarWinds-Orion-Updates eingeschleust wurde und US-Behoerden sowie globale Unternehmen kompromittierte. Es gehört zur Kategorie Schwachstellen der Cybersicherheit.
Was bedeutet SolarWinds Sunburst?
Lieferketten-Angriff aus dem Jahr 2020, bei dem die Backdoor Sunburst in SolarWinds-Orion-Updates eingeschleust wurde und US-Behoerden sowie globale Unternehmen kompromittierte.
Wie funktioniert SolarWinds Sunburst?
Sunburst ist die zwischen Maerz und Juni 2020 in SolarWinds Orion eingebaute Backdoor, die FireEye im Dezember 2020 entdeckte. Angreifer kompromittierten die Build-Pipeline von SolarWinds und schleusten Schadcode in legitim signierte Orion-Updates, die anschliessend an rund 18.000 Organisationen ausgeliefert wurden. Eine Teilmenge, darunter die US-Ministerien fuer Finanzen, Handel, Justiz und Heimatschutz, FireEye und Microsoft, wurde per TEARDROP- und Cobalt-Strike-Implantaten gezielt weiterkompromittiert. US-Behoerden schrieben die Kampagne UNC2452 / APT29 (SVR) zu. Der Vorfall loeste umfassende Reformen der Software-Lieferkettensicherheit aus, darunter SBOMs und signierte Builds.
Wie schützt man sich gegen SolarWinds Sunburst?
Schutzmaßnahmen gegen SolarWinds Sunburst kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für SolarWinds Sunburst?
Übliche alternative Bezeichnungen: UNC2452, Solorigate, Sunburst-Backdoor.
● Verwandte Begriffe
- attacks№ 1116
Supply-Chain-Angriff
Angriff, der einen vertrauenswürdigen Software-, Hardware- oder Dienstleister kompromittiert, um dessen nachgelagerte Kunden zu erreichen.
- malware№ 080
Hintertür
Verdeckter Mechanismus, der normale Authentifizierung oder Zugriffskontrollen umgeht, um einem Angreifer künftigen Zugang zu ermöglichen.
- defense-ops№ 193
Cobalt Strike
Eine kommerzielle Adversary-Simulation-Plattform, die in Red-Team-Operationen weit verbreitet ist und von Angreifern haeufig fuer Post-Exploitation und Command-and-Control missbraucht wird.