Hasta 18,000 clientes de SolarWinds quedaron expuestos al hackeo, dice la compañía

Por Zachary Stieber
15 de diciembre de 2020 3:38 PM Actualizado: 15 de diciembre de 2020 3:38 PM

Un máximo de 18,000 empresas, agencias gubernamentales, y otras entidades descargaron la actualización del software que los hizo vulnerables a ser hackeados, según la compañía responsable de esta actualización.

SolarWinds, una compañía de tecnología de la información, dijo en una nueva declaración de que cree que un máximo de 18,000 clientes instalaron actualizaciones de su red Orion, lo cual dicen los expertos que permitió un ataque que se centró en un malware conocido como SUNBURST.

Entre las entidades afectadas se encuentra el Departamento de Comercio, cuyo portavoz confirmó a The Epoch Times que la red de la agencia fue violada.

«Ha habido una amplia cobertura mediática sobre los ataques a las agencias gubernamentales estadounidenses y a otras empresas, y muchos de esos artículos atribuyen esos ataques a una vulnerabilidad en los productos Orion. SolarWinds sigue investigando si, y hasta qué punto, una vulnerabilidad en los productos Orion fue aprovechada con éxito en cualquiera de los ataques reportados», dijo la compañía este lunes en una declaración ante la Comisión de Valores.

SolarWinds sirve a más de 300,000 clientes en todo el mundo. Según una lista parcial de clientes que fue retirada de la red, los clientes incluyen las cinco ramas del ejército de Estados Unidos, más de 425 de las empresas Fortune 500, y la Oficina del presidente de Estados Unidos.

Entre las empresas se encuentra Dominion Voting Systems, que suministra equipos y programas de votación a 28 estados. Dominion no respondió a una solicitud de comentarios pero un portavoz dijo al Wall Street Journal que la compañía no utiliza la plataforma Orion.

La Agencia de Ciberseguridad e Infraestructura del Departamento de Seguridad Nacional (CISA) ordenó el lunes a todas las agencias que habían descargado las actualizaciones en cuestión que desconectaran los dispositivos afectados, añadiendo que era la única medida de mitigación conocida hasta el momento.

SolarWinds dijo en su sitio web que sus sistemas «experimentaron un ataque manual de cadena de suministro altamente sofisticado», y agregó: «Nos han informado que este ataque probablemente fue realizado por un estado nacional externo y tenía la intención de ser un ataque estrecho, extremadamente específico y ejecutado manualmente, a diferencia de un ataque amplio en todo el sistema».

En el expediente, SolarWinds dijo que una investigación descubrió evidencia de que la vulnerabilidad estaba insertada dentro de los productos Orion y existió en las actualizaciones publicadas entre marzo y junio.

A los clientes se les pidió que actualizaran los productos afectados a una nueva versión o que desconectaran la plataforma.

Según la empresa de ciberseguridad FireEye, los hackers troyanizaron la actualización de Orion para distribuir el malware, o código malicioso.

De acuerdo con la empresa de seguridad de redes Volexity, los ataques están vinculados a múltiples incidentes ocurridos a fines del año pasado y durante este año en un centro de estudios con sede en Estados Unidos al que la compañía ayudó a responder.

Volexity dijo que descubrió que los atacantes aprovecharon una vulnerabilidad en el Panel de Control de Microsoft Exchange de la organización.

Microsoft les dijo a los usuarios que el actor detrás de los ataques se introdujo a través de un código malicioso en Orion.

«Esto da como resultado que el atacante se establezca en la red, que el atacante puede utilizar para obtener credenciales elevadas», dijo. «Una vez en la red, el intruso utiliza los permisos administrativos adquiridos a través del compromiso local para obtener acceso a la cuenta de administrador global de la organización y/o al certificado de firma de token SAML confiable. Esto permite al actor falsificar los tokens SAML suplantando a cualquiera de los usuarios y cuentas existentes de la organización, incluidas las cuentas altamente privilegiadas».

SAML son las siglas de Security Assertion Markup Language (Lenguaje de Marcado para Confirmaciones de Seguridad), o un estándar para que los usuarios inicien sesión en las aplicaciones.

Con información de Ivan Pentchoukov.

Siga a Zachary en Twitter: @zackstieber


Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí

Descubre

Cómo Huawei es utilizado como herramienta de espionaje y subversión

Cómo puede usted ayudarnos a seguir informando

¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.