在日前傳出美國財政部與商務部遭到國家支持的駭客攻擊,且與這些機構所使用的IT監管平臺SolarWinds Orion有關之後,美國國土安全部旗下的網路安全暨基礎架構安全署(CISA)在周日(12/13)發布了緊急指令,要求所有的聯邦機構應該檢查它們的網站,並立即關閉或斷開所使用的SolarWinds Orion產品。

CISA代理主任Brandon Wales指出,被危害的SolarWinds Orion網路管理產品對聯邦網路帶來了無法承受的安全風險,此一緊急指令是為了減輕可能的威脅,同時督促不管是公、私領域的部門,都應該審慎評估自己是否曝露在風險之中。

SolarWinds為美國專門研發系統/網路/基礎設施管理軟體的業者,全球客戶數為30萬家,包括眾多的美國聯邦機構在內。SolarWinds坦承,從今年3月到6月間釋出的SolarWinds Orion Platform 2019.4 HF 5至2020.2.1版本遭到駭客攻擊,另也在本周一(12/14)提交給證券交易委員會(SEC)的文件中說明,安裝含漏洞Orion Platform版本的客戶數接近1.8萬家。

駭客藉由SolarWinds Orion的安全漏洞滲透到客戶的內部網路,並藏匿於受害者的系統上長達數月之久。

資安業者FireEye微軟都積極地對此一攻擊行動展開調查,發現駭客於SolarWinds Orion平臺上植入了木馬程式。

目前僅確定駭客是在合法的SolarWinds函式庫中嵌入了惡意的SolarWinds.Orion.Core.BusinessLayer.dll木馬程式,該程式可透過HTTP與第三方伺服器交流,而且是經SolarWinds簽章的元件。

Microsoft 安全回應中心(MSRC)指出,他們目前並不知道該木馬程式是如何進駐SolarWinds函式庫的,也許是危害了SolarWinds的內部版本或散布系統,使得此一木馬程式得以隨著自動化更新進入受害者網路。

一旦進入受害者網路,駭客就會利用危害本地端時所取得的管理權限,試圖進一步取得組織的全球管理帳號或可靠的SAML權杖,將允許駭客於受害組織中的應用程式或服務建立自己的憑證。

雖然SolarWinds已釋出了修補的Orion Platform 2020.2.1 HF 1,亦即將於12月15日釋出強化安全機制的Orion Platform 2020.2.1 HF 2,但CISA還是要求美國聯邦機構立即關閉Orion產品,而FireEye則建議,若無法隔離SolarWinds基礎設施,那麼應該要限制SolarWinds伺服器與端點的連結,限制於SolarWinds伺服器上的管理帳號權限,封鎖採用SolarWinds軟體的伺服器或端點的網路出口,也應考慮更新帳號憑證。

另一方面,在分析駭客攻擊手法的當下,FireEye並未證實自己是否也是此波攻擊的受害者之一。

熱門新聞

Advertisement