Hacking

SolarWinds es una empresa que distribuye software de control y análisis de redes, y que tiene aproximadamente unos 330.000 clientes. Orion su producto estrella es usado por administradores de TI para identificar vulnerabilidades, monitorear servicios, identificar fallas, entre otras tareas, lo que la convierte en una herramienta reconocida y de amplia distribución entre los recursos del personal técnico a cargo de la seguridad de redes y servidores.

Imágen de Hacker Noon en Unsplash

Durante el año 2019 Vinoth Kumar (investigador de seguridad) alertó a la empresa Solarwinds que cualquiera podía entrar a su servidor de actualizaciones usando la contraseña solarwinds123, esto ya era un indicio de que la seguridad no era una prioridad en el personal directivo.

Un encargado de auditoría informática quien entrego un informe sobre las deficiencias en seguridad y que no fueron atendidas por razones financieras, presentó su renuncia debido a que sus advertencias fueron ignoradas.

Debido a la pobre seguridad un equipo de hackers se infiltró en los servidores de SolarWinds e incluyó malware dentro de las actualizaciones distribuidas por el servidor de actualización de la empresa. Los servidores de los clientes que instalaron la actualización recibieron el componente troyano SolarWinds.Orion.Core.BusinessLayer.dll que al estar firmado por una fuente de confianza (SolarWinds) fue instalado ampliamente en un rango de estimado de 18.000 clientes del total de 33.000 que usan el software Orion.

Todo esto se puso en evidencia el 08-12-2020 cuando la empresa FireEye alertó de una intrusión, en la que le fue robado un kit de herramientas de seguridad Red Team usadas para probar las defensas informáticas de sus clientes. Al identificar el método usado para la intrusión lograron identificar un componente instalado en una actualización de Orion. Luego de FireEye anunciara el hallazgo se determinó que la intrusión se inició en marzo y tuvieron meses para acceder a lo sistemas de 18.000 empresas y organizaciones.

Acceso al código fuente de Microsoft

Microsoft anunció que es una de las empresas afectadas, y algunos días después señaló que los hackers tuvieron acceso al código fuente de sus productos de software. Las implicancias de esto son graves, los hackers ya no necesitarán ingeniería reversa para identificar flancos débiles en los servidores, motores de bases de datos, antivirus o software de escritorio provisto por Microsoft.

Impacto en Chile

Solarwinds eliminó de la web el listado público de sus clientes, y Google también eliminó la copia en su cache. No es difícil presumir que algunas de las empresas que componen el índice bursátil IPSA se encuentran entre los clientes de SolarWinds, también debe incluir organismos del estado de Chile, Universidades, entre otros. Una breve búsqueda en Internet muestra que el Instituto AIEP de la Universidad Andrés Bello es un cliente de SolarWinds desde el año 2015.

El futuro inmediato

Entre las medidas iniciales si usas Orion se encuentra actualizar el producto y revisar profundamente las actividades de tu red y servidores. Si no usas Orion, por lo pronto asegurar la inmediata instalación de actualizaciones de seguridad de tus productos Microsoft.