Onrust onder Nederlandse en Belgische klanten SolarWinds

Onder een groot aantal Nederlandse en Belgische klanten die gebruik maken van de Orion netwerkmonitoringsoftware van SolarWinds is onrust ontstaan. De partijen vrezen dat aanvallers via het recent ontdekte lek in Orion niet alleen konden meelezen met e-mail, maar ook andere dingen konden doen.

Dit meldt Donald Bakels, directeur van SolarWinds-distributeur en -partner Adfontes Software, aan Computable. Bakels meldt dat de schrik er goed in zit en sommige partijen omvangrijke maatregelen overwegen. Als voorbeeld wordt een Nederlandse bank genoemd, die overweegt de volledige SolarWinds-omgeving te vervangen en volledig nieuw op te bouwen. Namen van Nederlandse gebruikers van Orion noemt Bakels niet. Wel bevestigt hij dat de software ook door veel overheidsinstellingen worden gebruikt.

Wereldwijd hebben ongeveer 18.000 klanten van SolarWinds een kwetsbare versie van Orion geïnstalleerd, meldt het bedrijf zelf in een verklaring aan de SEC. Denk hierbij aan verschillende Amerikaanse ministeries, het Amerikaanse beveiligingsbedrijf FireEye en de Britse NHS. SolarWinds benadrukt in een security advisory dat andere oplossingen van het bedrijf niet getroffen zijn.

Patch beschikbaar

Adfontes adviseert klanten de door SolarWinds uitgebrachte patch te installeren om het lek te dichten. Bakels: "Daarmee weet je echter nog niet in hoeverre servers in je netwerkomgeving zijn geraakt." Zo wordt nog onderzocht hoe diep de aanvallers de systemen van klanten zijn weten binnen te dringen. Ook is niet bekend of de aanvallers op dit moment nog toegang hebben tot systemen, mogelijk via zelf aangebrachte backdoors.

De aanval wordt toegeschreven aan APT 29, ook bekend als Cozy Bear. Deze beruchte aanvalsgroep wordt al langer in verband gebracht met Russische geheime diensten. De aanval wordt in de VS dan ook toegeschreven aan Rusland.