A pesar de las desastrosa consecuencias del ataque a la cadena de suministro de SolarWinds, cientos de organizaciones en todo el mundo aún operan con sus implementaciones de SolarWinds Orion expuestas en Internet, dejando de lado cualquier mecanismo para impedir que un nuevo ataque de esta naturaleza pueda ocurrir, así lo afirma un reporte de los analistas de riesgos de RiskRecon.
Como recordará, hace unos meses un grupo de actores de amenazas presuntamente patrocinados por el gobierno de Rusia comprometieron los sistemas de SolarWinds, empleando el acceso ilegítimo para distribuir una actualización maliciosa cargada con el malware Sunburst, que fue recibido por al menos 18 mil organizaciones usando la solución de monitoreo SolarWinds Orion.
Por si no fuera suficiente, un segundo grupo cibercriminal presuntamente relacionado con el gobierno de China logró acceder a las redes informáticas de SolarWinds para entregar una variante de malware identificada como Supernova. Este ataque requirió acceso privilegiado a las redes, además de requerir de la explotación de una falla día cero en Orion, que ya ha sido corregida.
Al momento de la publicación del reporte, los expertos de RiskRecon ya habían detectado al menos 1,330 organizaciones usando una implementación de Orion expuesta en Internet. Considerando que las cifras al momento del ataque eran de 1,780 implementaciones expuestas, los especialistas consideran que aún queda mucho por hacer para mitigar posibles incidentes posteriores.
El análisis de RiskRecon también menciona que alrededor del 4% de estas organizaciones aún usan versiones de Orion con fragmentos del código de Sunburst, sin mencionar que tampoco cuentan con los parches necesarios para prevenir la explotación de Supernova. Esta condición afecta a toda clase de organizaciones, incluyendo agencias gubernamentales, instituciones académicas, firmas proveedoras de hosting web e incluso algunas compañías de la prestigiosa lista Fortune 500.
Por otra parte, un informe de Microsoft firmado por su director legal Brad Smith confirma las declaraciones de un agente de inteligencia de E.U., quien aseguraba que más de un millar de hackers rusos participaron en algún punto de este ataque: “Al analizar el problema nos preguntamos cuántos ingenieros de software podrían haber trabajado en este proyecto. Estimamos que deben haber trabajado más de mil hackers; por nuestra parte estamos trabajando con un grupo de 500 ingenieros completamente dedicados a analizar el compromiso de la cadena de suministro.”
El funcionario de Microsoft concluye mencionando que los actores de amenazas crearon alrededor de 4 mil líneas de código que finalmente fueron entregadas a los clientes de SolarWinds Orion: “No es exagerado mencionar que este podría tratarse del ciberataque más ambicioso jamás identificado”, concluye Smith.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.