SolarWinds - Sunburst
SonicWall stellt aktualisierte Signaturen zur Erkennung von SUNBURST bereit
SonicWall veröffentlicht aktualisierte Signaturen zur Erkennung und Schadensbegrenzung
Wie SonicWall im Dezember 2020 mitteilte, haben das US-amerikanische Heimatschutzministerium (DHS) und die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) bestätigt, dass böswillige Bedrohungsakteure Schwachstellen in SolarWinds Orion-Produkten aktiv ausnutzen – insbesondere die Versionen 2019.4 bis 2020.2 HF1.
Sowohl SolarWinds als auch CISA empfehlen Unternehmen, die SolarWinds Orion verwenden, dringend, die von ihnen ausgeführte Version zu überprüfen und bei Bedarf sofort zu aktualisieren. Weitere Informationen finden Sie unter www.solarwinds.com/securityadvisory .
Die Bedrohungsforscher von SonicWall Capture Labs haben zusätzliche Signaturen veröffentlicht, um böswillige Aktivitäten im Zusammenhang mit der Verletzung von SolarWinds Orion zu identifizieren und zu blockieren. Der Bedrohungsakteur nutzt hauptsächlich Malware, die allgemein als Sunburst und Supernova bekannt ist, um globale Supply-Chain-Angriffe gegen die SolarWinds Orion-Plattform durchzuführen. Diese Malware-Varianten können Daten übertragen und ausführen, Systemprofile erstellen, neu starten und vieles mehr.
Insgesamt hat SonicWall 20 Intrusion Prevention-Signaturen (IPS), acht GAV-Signaturen und neun bekannte bösartige Domäne auf der schwarzen Liste veröffentlicht, die bei diesen Angriffen eingesetzt werden.
Diese proaktiven Maßnahmen umfassen:
- Anwendungsidentifikationssignaturen, die erkennen, ob in einer Organisation SolarWinds Orion in ihrem Netzwerk bereitgestellt ist
- Signaturen zum Blockieren bösartiger Domäne
- Signaturen zum Blockieren schädlicher IP-Adressen
- Signaturen zum Erkennen und Blockieren von Malware wie Sunburst, Supernova und Teardrop
Weitere Details zu den SonicWall-Schutzmaßnahmen finden Sie unter: https://www.sonicwall.com/support/product-notification/201215115842243/
Die Signaturen werden automatisch auf SonicWall-Firewalls mit aktiven Sicherheitsabonnement angewendet.