El aviso de brecha de seguridad de SolarWinds y su posible impacto

16 Diciembre 2020
By:
Hiscox España
Hiscox España

SolarWinds, proveedor global de servicios de TI, ha sufrido una brecha de seguridad y sus productos están siendo explotados por los ciberdelincuentes. Este incidente está relacionado con el ciberataque que FireEye, una de las firmas de ciberseguridad más importantes del mundo, reconoció haber sufrido la semana pasada y que parece confirmarse que se habría producido a través de una vulneración en la cadena de suministro que provocaron los ciberdelincuentes comprometiendo SolarWinds, proveedor informático de la mayoría de las grandes multinacionales estadounidenses o entidades como la NASA o el Pentágono.

“FireEye ha detectado esta actividad maliciosa en múltiples entidades de todo el mundo. Entre las víctimas se encuentran instituciones gubernamentales y de consultoría, tecnología y telecomunicaciones en EEUU, Europa, Asia y Oriente Medio. La previsión es que poco a poco se detectarán nuevas víctimas en otros países e industrias”, han afirmado desde la compañía especializada en ciberseguridad.

¿Qué sabemos?

SolarWinds Orion es una herramienta de administración de red utilizada por los profesionales de TI para monitorizar el estado de los servidores. Este software se usa generalmente en grandes organizaciones con amplias redes y servidores. Los ciberdelincuentes están utilizando las actualizaciones de SolarWinds Orion para distribuir un malware llamado SUNBURST, que está afectando a organizaciones públicas y privadas de todo el mundo. Las versiones de software afectadas incluyen las versiones 2019.4 HF1 a 2020.2.1, lanzadas entre marzo y junio de 2020.

¿Qué es y cómo se produce un ataque en la cadena de suministro?

  • Estamos ante un ataque ciber en el que se ha obtenido acceso a una entidad o compañía a través de su cadena de suministro, en este caso utilizando un proveedor de TI
  • Los atacantes se infiltraron en SolarWinds para implantar un malware convirtiendo a este servicio en el vehículo de entrada para llegar a otras entidades
  • El malware infectó las actualizaciones del software SolarWinds y se fue implantando en los clientes de este servicio entre marzo y junio de 2020
  • Hasta el momento se contabilizan casos aislados en los que los delincuentes han conseguido utilizar este acceso para comprometer otras redes y robar datos

Próximos pasos

Si tu empresa utiliza SolarWinds, consulta el aviso de seguridad y las recomendaciones que se han publicado. La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de EEUU también ha publicado una directiva de emergencia sobre cómo detectar y analizar sistemas que pueden haber sido comprometidos.

Además, para obtener más información, sigue las novedades anunciadas por  Microsoft, FireEye e INCIBE-CERT respecto a esta brecha de seguridad.