Solarwinds: Belgische klanten wel getroffen, (nog) niet gehackt
Het securityprobleem rond de Orion-software van Solarwinds, waardoor verschillende Amerikaanse overheidsdiensten werden bespioneerd, treft ook in België bedrijven. Maar het is niet bekend of ze ook werden gehackt.
Begin deze week gingen in de VS alle alarmbellen af. Softwaremaker Solarwinds bleek maanden geleden te zijn gehackt waarbij updates voor haar Orion software werden gemanipuleerd. Daardoor was het maandenlang mogelijk voor zeer geavanceerde hackers om in te breken en af te luisteren bij gebruikers van de software. In eerste instantie lijkt het er op dat de netwerken verschillende Amerikaanse ministeries en overheidsagentschappen daardoor open en bloot lagen voor de hackers.
Solarwinds of Orion zijn niet de meest ronkende namen in het techlandschap, maar ze zijn wel degelijk een prominente speler voor onder andere netwerkmonitoring, databasemanagement en serverbeheer.
Grote en kleine organisaties
Data News sprak met Donald Bakens, CEO van Adfontes Software. Zijn bedrijf is naar eigen zeggen de grootste verdeler van Solarwinds in de Benelux. Hoeveel organisaties in België de getroffen software gebruiken kan hij niet exact zeggen, maar hij spreekt van ‘een behoorlijk aantal in alle marktsectoren. Van overheid tot industrie, healthcare,’ en andere sectoren. Er zijn dus ook Belgische organisaties die de afgelopen maanden malware hebben binnengehaald via een update van de Orion software.
‘Solarwinds is groot geworden met netwerkmanagement, ze concurreren met producten van HP, Oracle of Cisco en dat zowel bij grote als kleinere organisaties.’
Bij het Centrum voor Cybersecurity Belgium (CCB, waar ook het CERT onder valt) is men op de hoogte van het incident. Het CERT publiceerde de afgelopen dagen al een waarschuwing.
‘Voor zover bekend hebben we nog geen aanvallen in België gezien op basis van het incident met Solarwinds, maar we volgen het wel nauw op’, zegt communicatieverantwoordelijke Katrien Eggers aan Data News. Bedrijven die zijn getroffen kunnen wel altijd contact opnemen met het CCB voor eventuele ondersteuning, zonder dat hun naam daarbij wordt bekendgemaakt.
Wie en wat is kwetsbaar?
Solarwinds zelf heeft de afgelopen dagen een aantal details vrijgegeven over het probleem. Zo zouden er wereldwijd 18.000 klanten kwetsbaar zijn. Het gaat om klanten die het Solarwinds Orion Platform gebruiken, specifiek versie 2019.4 HF5, 2020.2 (zonder hotfix) en 2020.2 HF 1. Aanvankelijk sprak Solarwinds over 33.000 klanten, maar stelde dat cijfer achteraf bij.
Wie die versies draait, heeft dit voorjaar tussen maart en juni waarschijnlijk patches geïnstalleerd die de software kwetsbaar maakten voor hackers. Dat kan ook gebeurd zijn door automatische updates. Solarwinds raadt in eerste instantie aan dat gebruikers nu zo snel mogelijk patchen.
Dat patchen voorkomt houdt hackers in de toekomst buiten, maar staat niet in de weg dat ze de afgelopen maanden ongezien zijn binnengedrongen. Wie vreest dat zijn of haar IT-omgeving hier het slachtoffer van is kan onder meer DNS-toegang tot een aantal sites blokkeren, en de Orion software opnieuw installeren. Solarwinds geeft in een uitgebreide FAQ meer technische en gedetailleerde uitleg over wat je hoort te doen.
Einde nog niet in zicht
Het lastige aan deze cyberaanval is dat ze bijzonder precies en doeltreffend is uitgevoerd, waarbij we de exacte omvang absoluut niet kennen. Alles wijst er op dat het om het werk van zeer geavanceerde hackers gaat die maandenlang onopgemerkt bleven. Daarbij wordt vanuit de VS gewezen naar state sponsored hackers (hackers in dienst van een overheid) en wordt door sommigen met de vinger gewezen naar Rusland. Al is daar op zich geen hard bewijs voor.
De bal ging aan het rollen nadat beveiligingsbedrijf FireEye vorige week ontdekte dat het slachtoffer werd van een hack. Op zondag publiceerde het een uitgebreide analyse van haar bevindingen. Daaruit blijkt dat het om een grootschalige cyberaanval ging waar malware, die het de naam Sunburst meekrijgt, via updates voor de Orion software werd meegestuurd.
Intussen meldt Reuters, op basis van anonieme bronnen, dat ook Microsoft via de software zou gehackt zijn. Politico meldt intussen hetzelfde over het Amerikaanse ministerie van energie en de National Nuclear Security Administration, de beheerder van het Amerikaanse kernwapenarsenaal.
De kans is zeer groot dat in de komende dagen en weken nog meer prominente organisaties opduiken als slachtoffer van deze grootschalige en gesofisticeerde hack.
Fout opgemerkt of meer nieuws? Meld het hier