CISA: Desligue sistemas de monitoramento de rede comprometida

Views: 83
0 0
Read Time:3 Minute, 17 Second

Em resposta a um sofisticado ataque cibernético aos sistemas de e-mails internos nos Departamentos do Tesouro e do Comércio, a Agência de Segurança cibernética e infraestrutura (CISA) emitiu uma diretiva de emergência para obrigar todas as agências civis federais a parar de usar os produtos Orion da SolarWinds “imediatamente”.

Acredita-se que os atacantes – provavelmente apoiados pela Rússia, de acordo com analistas e fontes governamentais – tenham tido acesso através de atualizações aos produtos Orion usando um “ataque da cadeia de suprimentos”, que esconde atualizações maliciosas de software de código fornecidas a alvos por terceiros, disse a Reuters no primeiro relatório do ataque. Um relatório subsequente da Reuters disse que o Departamento de Segurança Interna também foi atingido pelos atacantes.

A SolarWinds, que fornece produtos de gerenciamento e monitoramento de TI, possui uma longa lista de clientes do governo, incluindo o Departamento de Defesa, a NASA e a Agência de Segurança Nacional, bem como “425 das empresas da Fortune 500 dos EUA”, de acordo com o site da empresa,

“O compromisso dos Produtos de Gerenciamento de Rede Orion da SolarWinds representa riscos inaceitáveis para a segurança das redes federais”, disse o diretor interino da CISA, Brandon Wales. A “diretiva visa mitigar potenciais compromissos dentro das redes civis federais, e instamos todos os nossos parceiros – nos setores público e privado – a avaliar sua exposição a esse compromisso e proteger suas redes contra qualquer exploração”.

A CISA também disse que as agências federais que usam produtos SolarWinds devem fornecer um relatório de conclusão ao CISA até o meio-dia de segunda-feira.

A notícia chegou vários dias depois que o FireEye anunciou que sua própria rede foi comprometida e explorações cibernéticas usadas para testar redes de clientes foram roubadas.

“Nossa análise indica que esses compromissos não são auto-propagadores”, escreveu o CEO do FireEye, Kevin Mandia, em um post no blog em 13 de dezembro. “Cada um dos ataques requer planejamento meticuloso e interação manual”

A SolarWinds disse que os hackers provavelmente exploraram uma vulnerabilidade em um patch lançado no início deste ano.

“Estamos cientes de uma potencial vulnerabilidade que se acredita estar relacionada às atualizações que foram lançadas entre março e junho de 2020 aos nossos produtos de monitoramento orion”, disse Kevin Thompson, presidente da empresa, em comunicado.

“Estamos atuando em estreita coordenação com o FireEye, o Federal Bureau of Investigation, a comunidade de inteligência e outras forças policiais para investigar esses assuntos. Como tal, estamos limitados quanto ao que podemos compartilhar neste momento”, continuou.

Um porta-voz do FBI disse que a agência está ciente da violação, mas se recusou a comentar mais.

Em um post na noite de domingo,o FireEye disse que está rastreando os atores por trás da “campanha global de intrusão” usando malware que a empresa chamou de SUNBURST. A empresa disse que a campanha, que chamou de UNC2452, ganhou acesso a “numerosas” organizações públicas e privadas em todo o mundo.

“Esta campanha pode ter começado já na primavera de 2020 e está em andamento”, de acordo com o post do FireEye. “A campanha é obra de um ator altamente qualificado e a operação foi conduzida com segurança operacional significativa.”

FireEye disse que a SUNBURST usa um backdoor que inicialmente permanece dormente por até semanas após ser entregue. O malware dá ao invasor autoridade sobre sistemas comprometidos, incluindo a capacidade de transferir riles, executar programas e desativar serviços. O malware permite que o invasor “se misture com a atividade legítima do SolarWinds”, de acordo com o post do FireEye.

O ex-diretor da CISA Chris Krebs tuitou no domingo à noite que qualquer um que usa Orion deve assumir que está comprometido.

“Ative imediatamente sua equipe de resposta a incidentes. As chances são de que você não está afetado, pois isso pode ser um hack intensivo de recursos. Concentre-se em suas Joias da Coroa. Você pode lidar com isso”, disse ele.

FONTE: GCN

Previous post Aviso de Ameaça: Ataque à cadeia de suprimentos da SolarWinds
Next post 18.000 organizações possivelmente comprometidas em ataques cibernéticos maciços da cadeia de suprimentos

Deixe um comentário