CISA discovers token abuse around SolarWinds hack, calls for

CISA noted evidence of initial access vectors beyond SolarWinds’ Orion platform, and abuse of SAML authentication tokens that mirror behaviors of the actor behind the compromise. ("Peter @ Solarwinds office" by ecooper99 is licensed under CC BY 2.0)
Largely lost in the fallout from yesterday’s Capitol riots was an update on a mandatory order to federal agencies responding the SolarWinds hack.
An alert from the Cybersecurity and Infrastructure Security Agency at the Department of Homeland Security pointed to evidence of initial access vectors beyond SolarWinds’ Orion platform, and abuse of SAML authentication tokens that mirror behaviors of the actor behind the compromise. An attacker gaining access to these tokens could be catastrophic for identity validation and likely requires a full rebuild of the network. The agency referenced guidance from Microsoft for further instructions.

Related Keywords

Russia , White House , District Of Columbia , United States , Russian , Solarwind Orion , Mark Warner , Department Of Homeland Security , Aspen Institute , Department Of Justice , Microsoft , Infrastructure Security Agency , National Intelligence , National Security Agency , Homeland Security , Federal Government , Operational Directive , Chief Information Officers , Advanced Persistent Threat , Cozy Bear , Fancy Bear , ரஷ்யா , வெள்ளை வீடு , மாவட்டம் ஆஃப் கொலம்பியா , ஒன்றுபட்டது மாநிலங்களில் , ரஷ்ய , குறி எச்சரிக்கை , துறை ஆஃப் தாயகம் பாதுகாப்பு , ஆஸ்பென் நிறுவனம் , துறை ஆஃப் நீதி , மைக்ரோசாஃப்ட் , தேசிய உளவுத்துறை , தாயகம் பாதுகாப்பு , கூட்டாட்சியின் அரசு , செயல்பாட்டு உத்தரவு , தலைமை தகவல் அதிகாரிகள் , வசதியான தாங்க , ஆடம்பரமான தாங்க ,