就在資安業者相繼指出SolarWinds的Orion Platform平臺除了被植入Sunburst木馬程式以外,也出現了另一個名為Supernova的木馬程式之後,SolarWinds在27日發布了官方的安全通知,證實Supernova的存在。
根據資安業者Palo Alto Networks的分析,Supernova為app_web_logoimagehandler.ashx.b6031896.dll的木馬版,此一DLL檔案原本是SolarWinds私有的.NET函式庫,作為HTTP API使用,可回應Orion元件的查詢,但駭客在此一檔案中加入了4個新參數,再利用惡意的手法於Orion主機上執行它們。
SolarWinds則解釋,Supernova與Sunburst不同,它並非屬於供應鏈攻擊,而是置放在一個不需授權就可存取客戶網路的伺服器上,並偽裝成SolarWinds產品的一部分。Supernova惡意程式由兩個元件所組成,其中之一為未經簽署、且專為Orion平臺撰寫的惡意DLL檔案,第二個則是利用Orion平臺漏洞來部署該惡意DLL檔案的開採程式。
由於Supernova與Sunburst的攻擊手法大不相同,Sunburst不但具備簽章,而且直接進駐了Orion平臺構建系統,屬於複雜的供應鏈攻擊,而Supernova屬於Webshell攻擊,且不具簽章,使得資安業者推測Orion平臺可能同時遭到不同駭客集團的危害。對此,SolarWinds表示,此時該公司對Supernova與Sunburst之間是否有關並無定論,將繼續與執法機關及資安業者密切合作以確定答案。
此外,不管是資安業者或SolarWinds都判斷,這應是屬於外國駭客集團的攻擊行動,但SolarWinds說目前尚不確定攻擊來源。
值得提醒的是,SolarWinds已釋出可防範Supernova及Sunburst攻擊的Orion Platform 2019.4 HF6與Orion Platform 2020.2.1 HF2,若無法立即升級,亦可下載SolarWinds所提供的暫時修補程式。
熱門新聞
2024-09-29
2024-10-01
2024-10-01
2024-10-03
2024-10-02
2024-10-01
2024-10-01