“Isolamos e removemos as instalações do Orion de um pequeno número de ambientes de laboratório e endpoints de funcionários. No momento, não há impacto conhecido sobre os produtos e serviços da Cisco ou sobre os dados dos clientes.”
A FireEye e a Microsoft foram as primeiras a identificar a falha, e mais especialistas em segurança estão investigando-a devido ao uso generalizado da SolarWinds.
Uma coisa é certa: a última gota ainda não caiu. Aqui está um resumo do que surgiu nos últimos dias.
Killswitch encontrado
A FireEye documentou o cavalo de Troia pela primeira vez em 13 de dezembro em um em um artigo detalhado sobre o malware, dizendo que o software Orion poderia ter sido comprometido já em março de 2020. A FireEye disse ao site de segurança KrebsOnSecurity que encontrou um domínio que, desde então, foi apreendido pela Microsoft e foi reconfigurado para atuar como um killswitch para impedir que o malware continue a operar em algumas circunstâncias.
“SUNBURST é o malware que foi distribuído por meio do software SolarWinds. Como parte da análise da FireEye sobre o SUNBURST, identificamos um killswitch que impediria que o SUNBURST continuasse a operar”, disse a empresa em um comunicado enviado a mim.
Dependendo do endereço IP retornado quando o malware resolve o avsvmcloud[.]com, sob certas condições, o malware se encerraria e impediria a execução posterior. A FireEye colaborou com a GoDaddy e a Microsoft para desativar as infecções pelo SUNBURST.
