Documentos presentados ante la SEC: SolarWinds dice que 18.000 clientes se vieron afectados por un ataque reciente



Imagen: SolarWinds, el proveedor de software de TI de ZDNet, SolarWinds, restó importancia a una reciente violación de seguridad en los documentos presentados ante la Comisión de Bolsa y Valores de Estados Unidos el lunes. SolarWinds reveló el domingo que un grupo de piratas informáticos de un estado nacional violó su red e insertó malware en las actualizaciones de Orion, una aplicación de software para la gestión y el monitoreo de inventarios de TI. Las versiones de la aplicación Orion 2019.
4 a 2020.2.1, lanzadas entre marzo de 2020 y junio de 2020, estaban contaminadas con malware, dijo SolarWinds en un aviso de seguridad.
La actualización de Orion con troyanos permitió a los atacantes implementar malware adicional y altamente sigiloso en las redes de los clientes de SolarWinds. Además: Los mejores servicios VPN de 2020: seguro y rápido no es gratis Pero mientras que los informes de noticias iniciales del domingo sugirieron que todos los clientes de SolarWinds se vieron afectados, en los documentos de la SEC presentados hoy, SolarWinds dijo que de sus 300,000 clientes totales, solo 33,000 estaban usando Orion, una plataforma de software para la administración y monitoreo de inventario de TI, y que Se cree que menos de 18.000 han instalado la actualización con malware. La compañía dijo que notificó a todos sus 33,000 clientes de Orion el domingo, incluso si no instalaron la actualización de Orion troyanizada, con información sobre el pirateo y los pasos de mitigación que podrían tomar.
En un aviso de seguridad el domingo y las presentaciones de la SEC hoy, SolarWinds dijo que planea lanzar una actualización de Orion el martes que contendrá un código para eliminar cualquier rastro del malware de los sistemas de los clientes. Si los clientes no pueden esperar hasta el martes, Microsoft, FireEye y la Agencia de Infraestructura y Ciberseguridad de EE. UU. (CISA) también han publicado informes técnicos el domingo con instrucciones sobre cómo identificar rastros del malware entregado por SolarWinds Orion (llamado SUNBURST por FireEye y Solarigate de Microsoft), elimínelo de los sistemas y detecte si los piratas informáticos giraron con un ataque de segunda etapa a las redes internas. Pero si bien los detalles sobre cómo los piratas informáticos pasaron de SolarWinds a las redes de los clientes a través del malware Orion contaminado ahora han salido a la luz, SolarWinds aún no ha dicho cómo los piratas informáticos violaron su propia red.
No obstante, en los mismos documentos de la SEC, SolarWinds dijo que también se enteró de Microsoft sobre un compromiso de sus cuentas de productividad de oficina y correo electrónico de Office 365. La compañía dijo que actualmente está investigando si los atacantes utilizaron el acceso a las cuentas de correo electrónico para robar datos de los clientes. SolarWinds no dijo específicamente que este compromiso de la cuenta de correo electrónico llevó a los piratas informáticos a obtener acceso a la infraestructura del servidor que respalda el mecanismo de actualización de la aplicación Orion.
El hack de la plataforma SolarWinds Orion se está convirtiendo lentamente en uno de los hacks más importantes de los últimos años. Actualmente, la violación de seguridad de SolarWinds se ha relacionado con ataques a la firma de seguridad estadounidense FireEye, el Departamento del Tesoro de los Estados Unidos y la Administración Nacional de Telecomunicaciones e Información (NTIA) del Departamento de Comercio de los Estados Unidos. Sin embargo, se espera que el ataque sea mucho, mucho peor.
Forbes informó hoy que SolarWinds es un contratista importante para el gobierno de EE. UU., Con clientes habituales como CISA, el Comando Cibernético de EE. UU., El Departamento de Defensa, el Oficina Federal de Investigaciones, Departamento de Seguridad Nacional, Asuntos de Veteranos y muchos otros. Además, FireEye, que está investigando el incidente como parte de su propia violación de seguridad, dijo que los atacantes también comprometieron objetivos en todo el mundo, y no solo en los EE. UU., Incluidos gobiernos y empresas del sector privado en varias verticales. Citando fuentes de la industria, Reuters informó hoy que a pesar de una amplia base de instalación para la plataforma Orion, los atacantes parecen haberse centrado solo en una pequeña cantidad de objetivos de alto valor, dejando a la mayoría de los clientes de Orion sin verse afectados. Varios administradores de TI informaron hoy que encontraron signos de la actualización de Orion con malware en sus sistemas, pero no encontraron signos de cargas útiles de segunda etapa, que los atacantes suelen utilizar para escalar el acceso a otros sistemas y redes internas de clientes. SolarWinds dijo en documentos de la SEC hoy que en los primeros tres trimestres de 2020, los ingresos de la línea de productos Orion generaron aproximadamente $ 343 millones, lo que representa aproximadamente el 45% de los ingresos totales de la compañía. Si los clientes terminan abandonando la aplicación, las consecuencias de esta violación de seguridad terminarán teniendo un gran impacto en los resultados de SolarWinds también.
.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı