Se ha producido un ciberataque a SolaWinds, esta empresa tiene el software de monitorización de red comercial más importante del mundo (Orion), similar a Nagios o Zabbix.
Orion es usado por algunas de las empresas más importantes del mundo, agencias gubernamentales y universidades.
SolarWinds acaba de borrar de su web la página con la lista de sus clientes más importantes, supongo que en un vano intento de minimizar la repercusión (https://es.wikipedia.org/wiki/Efecto_Streisand), ya que se trata de un ataque a la cadena de suministro (supply chain attack), que consiste en modificar su software para crear un acceso oculto (backdoor), para acceder a los sistemas de sus clientes (https://es.wikipedia.org/wiki/Ataque_a_cadena_de_suministro)
Este ataque vulnera por tanto a los clientes de SolarWinds además de a la propia empresa. La de clientes afectados puede verse en el «Internet Archive» (por si lo borran, he puesto la lista debajo):
https://web.archive.org/web/20201214133830/https://www.solarwinds.com/company/customers
Entre los atacados está por ejemplo Microsoft, que ha sido incapaz de detectarlo, afectando a su servicio 365, pero también agencias como el servicio secreto de EEUU y muchas más agencias con información crítica.
Se rumorea que el ataque puede provenir de Rusia, algo que empieza a ser ya habitual.
Todo el que use SolarWinds para monitorizar sus redes debería actualizar urgentemente el software, aunque dado que el ataque se produjo en marzo, siendo realistas, el que haya tenido instalada una versión vulnerable durante meses es muy probable que ya se le hayan colado hasta la cocina.
Aquí está la nota que acaba de publicar el INCIBE:
En ZDNet publican que sólo se han visto afectados 18.000 de los clientes de SolarWinds, pues nada, si «sólo» son esos ya nos quedamos mucho más tranquilos.
Ni que decir tiene que este puede haber sido uno de los incidentes de ciberseguridad más graves que han ocurrido nunca.
Esta es la lista de los principales clientes de SolarWinds, que acaban de borrar hoy mismo de su web (sobre las 16h del 14/12/2020):
- Acxiom
- Ameritrade
- AT&T
- Bellsouth Telecommunications
- Best Western Intl.
- Blue Cross Blue Shield
- Booz Allen Hamilton
- Boston Consulting
- Cable & Wireless
- Cablecom Media AG
- Cablevision
- CBS
- Charter Communications
- Cisco
- CitiFinancial
- City of Nashville
- City of Tampa
- Clemson University
- Comcast Cable
- Credit Suisse
- Dow Chemical
- EMC Corporation
- Ericsson
- Ernst and Young
- Faurecia
- Federal Express
- Federal Reserve Bank
- Fibercloud
- Fiserv
- Ford Motor Company
- Foundstone
- Gartner
- Gates Foundation
- General Dynamics
- Gillette Deutschland GmbH
- GTE
- H&R
- Harvard University
- Hertz Corporation
- ING Direct
- IntelSat
- J.D. Byrider
- Johns Hopkins University
- Kennedy Space Center
- Kodak
- Korea Telecom
- Leggett and Platt
- Level 3 Communications
- Liz Claiborne
- Lockheed Martin
- Lucent
- MasterCard
- McDonald’s Restaurants
- Microsoft
- National Park Service
- NCR
- NEC
- Nestle
- New York Power Authority
- New York Times
- Nielsen Media Research
- Nortel
- Perot Systems Japan
- Phillips Petroleum
- Pricewaterhouse Coopers
- Procter & Gamble
- Sabre
- Saks
- San Francisco Intl. Airport
- Siemens
- Smart City Networks
- Smith Barney
- Smithsonian Institute
- Sparkasse Hagen
- Sprint
- St. John’s University
- Staples
- Subaru
- Supervalu
- Swisscom AG
- Symantec
- Telecom Italia
- Telenor
- Texaco
- The CDC
- The Economist
- Time Warner Cable
- U.S. Air Force
- University of Alaska
- University of Kansas
- University of Oklahoma
- US Dept. Of Defense
- US Postal Service
- US Secret Service
- Visa USA
- Volvo
- Williams Communications
- Yahoo
Hay información más detallada del ataque en esta página (en inglés):
https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
Deja una respuesta