[JustisCERT-varsel] Sårbarhet i SolarWinds Orion og flere VMware-produkter

JustisCERT ønsker å varsle om sårbarheter i:

• SolarWinds Orion som for øyeblikket blir aktivt utnyttet. Sårbarheten tillater fjernkjøring av kode på servere som kjører sårbare versjoner av SolarWinds Orion. Sikkerhetsoppdateringen «SolarWinds Orion 2020.2.1 HF2» blir tilgjengelig på SolarWinds sine nettsider den 15. desember 2020.
• Flere VMware produkter har sårbarheter som blir forsøkt utnyttet, 7 av disse er kategorisert som kritiske og 11 som viktige. Sikkerhetsoppdateringer er tilgjengelig fra VMware for alle berørte produkter.

For SolarWinds se [1] [2] [3] og for VMware se [4] [5] for flere detaljer om sårbarhetene.

Berørte produkter er blant annet:

• SolarWinds Orion 2020.2.1 og eldre
• SolarWinds Orion 2019.4 HF 5 og eldre

• VMware Workspace One Access (Access)
• VMware Workspace One Access Connector (Access Connector)
• VMware Identity Manager (vIDM)
• VMware Identity Manager Connector (vIDM Connector)
• VMware Cloud Foundation
• vRealize Suite Lifecycle Manager
• VMware ESXi
• VMware Workstation Pro / Player (Workstation)
• VMware Fusion Pro / Fusion (Fusion)
• VMware Cloud Foundation

Anbefalinger:

• Patch/oppdater berørte produkter
• Prioriter systemer som kan nås fra internett først
• Begrens hvilke IP som kan nå admingrensesnitt til kun de som administrerer løsningen
• Aktiver IPS-signaturer/Geo-blocking/annen beskyttelse i brannmurer som kan bidra til å beskytte utstyr som ikke er oppdatert

Kilder:

[1] https://solarwinds.com/securityadvisory

[2] https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

[3] https://cyber.dhs.gov/ed/21-01/

[4] https://www.vmware.com/security/advisories/VMSA-2020-0026.html

[5] https://www.vmware.com/security/advisories/VMSA-2020-0027.html