SolarWinds Sunburst
¿Qué es SolarWinds Sunburst?
SolarWinds SunburstAtaque a la cadena de suministro de 2020 en el que la puerta trasera Sunburst se introdujo en las actualizaciones de SolarWinds Orion, comprometiendo a agencias del gobierno de EE. UU. y a grandes empresas globales.
Sunburst es la puerta trasera troyanizada implantada en la plataforma de gestion IT SolarWinds Orion entre marzo y junio de 2020 y descubierta por FireEye en diciembre de 2020. Los atacantes comprometieron la cadena de compilacion de SolarWinds e insertaron codigo malicioso en actualizaciones de Orion legitimamente firmadas, que se desplegaron en unas 18.000 organizaciones. Un subconjunto, que incluia los Departamentos del Tesoro, Comercio, Justicia y Seguridad Nacional de EE. UU., FireEye y Microsoft, recibio explotacion posterior mediante implantes TEARDROP y Cobalt Strike. Las autoridades estadounidenses atribuyeron la campana a UNC2452 / APT29 (SVR). El incidente impulso reformas en seguridad de cadena de suministro de software, como SBOM y compilaciones firmadas.
● Ejemplos
- 01
Un servidor Orion contacta avsvmcloud.com y recibe una carga util de Cobalt Strike en segunda fase.
- 02
Una agencia reconstruye su despliegue Orion desde medios limpios y rota todos los certificados de firma SAML.
● Preguntas frecuentes
¿Qué es SolarWinds Sunburst?
Ataque a la cadena de suministro de 2020 en el que la puerta trasera Sunburst se introdujo en las actualizaciones de SolarWinds Orion, comprometiendo a agencias del gobierno de EE. UU. y a grandes empresas globales. Pertenece a la categoría de Vulnerabilidades en ciberseguridad.
¿Qué significa SolarWinds Sunburst?
Ataque a la cadena de suministro de 2020 en el que la puerta trasera Sunburst se introdujo en las actualizaciones de SolarWinds Orion, comprometiendo a agencias del gobierno de EE. UU. y a grandes empresas globales.
¿Cómo funciona SolarWinds Sunburst?
Sunburst es la puerta trasera troyanizada implantada en la plataforma de gestion IT SolarWinds Orion entre marzo y junio de 2020 y descubierta por FireEye en diciembre de 2020. Los atacantes comprometieron la cadena de compilacion de SolarWinds e insertaron codigo malicioso en actualizaciones de Orion legitimamente firmadas, que se desplegaron en unas 18.000 organizaciones. Un subconjunto, que incluia los Departamentos del Tesoro, Comercio, Justicia y Seguridad Nacional de EE. UU., FireEye y Microsoft, recibio explotacion posterior mediante implantes TEARDROP y Cobalt Strike. Las autoridades estadounidenses atribuyeron la campana a UNC2452 / APT29 (SVR). El incidente impulso reformas en seguridad de cadena de suministro de software, como SBOM y compilaciones firmadas.
¿Cómo defenderse de SolarWinds Sunburst?
Las defensas contra SolarWinds Sunburst combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para SolarWinds Sunburst?
Nombres alternativos comunes: UNC2452, Solorigate, Backdoor Sunburst.
● Términos relacionados
- attacks№ 1116
Ataque a la cadena de suministro
Ataque que compromete a un proveedor de software, hardware o servicios de confianza para llegar a sus clientes finales.
- malware№ 080
Puerta trasera
Mecanismo encubierto que evita la autenticación o los controles habituales para conceder al atacante un acceso futuro al sistema.
- defense-ops№ 193
Cobalt Strike
Plataforma comercial de simulacion adversaria ampliamente usada en operaciones de red team y frecuentemente abusada por atacantes para post-explotacion y mando y control.