1.转录网址︰
※ 网址超过一行 请缩网址 ※
https://bit.ly/2KxSvkH
2.转录来源︰
※ FB公众人物、FB粉丝团名称、其他来源 ※
ithome
3.转录内容︰
※ 请完整转载原文 请勿修改内文与编排 ※
美国国土安全部发布紧急指令,要联邦机构立即关闭被植入木马的SolarWinds系统
文/陈晓莉 | 2020-12-15发表
在日前传出美国财政部与商务部遭到国家支持的骇客攻击,且与这些机构所使用的IT监
管平台SolarWinds Orion有关之后,美国国土安全部旗下的网络安全暨基础架构安全署
(CISA)在周日(12/13)发布了紧急指令,要求所有的联邦机构应该检查它们的网站,
并立即关闭或断开所使用的SolarWinds Orion产品。
CISA代理主任Brandon Wales指出,被危害的SolarWinds Orion网络管理产品对联邦网络
带来了无法承受的安全风险,此一紧急指令是为了减轻可能的威胁,同时督促不管是公
、私领域的部门,都应该审慎评估自己是否曝露在风险之中。
SolarWinds为美国专门研发系统/网络/基础设施管理软件的业者,全球客户数为30万家
,包括众多的美国联邦机构在内。SolarWinds坦承,从今年3月到6月间释出的SolarWin
ds Orion Platform 2019.4 HF 5至2020.2.1版本遭到骇客攻击,另也在本周一(12/14
)提交给证券交易委员会(SEC)的文件中说明,安装含漏洞Orion Platform版本的客户
数接近1.8万家。
骇客借由SolarWinds Orion的安全漏洞渗透到客户的内部网络,并藏匿于受害者的系统
上长达数月之久。
资安业者FireEye与微软都积极地对此一攻击行动展开调查,发现骇客于SolarWinds Or
ion平台上植入了木马程式。
目前仅确定骇客是在合法的SolarWinds函式库中嵌入了恶意的SolarWinds.Orion.Core.
BusinessLayer.dll木马程式,该程式可透过HTTP与第三方服务器交流,而且是经Solar
Winds签章的元件。
Microsoft 安全回应中心(MSRC)指出,他们目前并不知道该木马程式是如何进驻Sola
rWinds函式库的,也许是危害了SolarWinds的内部版本或散布系统,使得此一木马程式
得以随着自动化更新进入受害者网络。
一旦进入受害者网络,骇客就会利用危害本地端时所取得的管理权限,试图进一步取得
组织的全球管理帐号或可靠的SAML权杖,将允许骇客于受害组织中的应用程式或服务建
立自己的凭证。
虽然SolarWinds已释出了修补的Orion Platform 2020.2.1 HF 1,亦即将于12月15日释
出强化安全机制的Orion Platform 2020.2.1 HF 2,但CISA还是要求美国联邦机构立即
关闭Orion产品,而FireEye则建议,若无法隔离SolarWinds基础设施,那么应该要限制
SolarWinds服务器与端点的连结,限制于SolarWinds服务器上的管理帐号权限,封锁采
用SolarWinds软件的服务器或端点的网络出口,也应考虑更新帐号凭证。
另一方面,在分析骇客攻击手法的当下,FireEye并未证实自己是否也是此波攻击的受害
者之一。
4.附注、心得、想法︰
美国啥都外包,从投票到政府机关的网络安全到台湾皆外包
难怪到最后都一个个反噬,甚至想借机控制美国的一切,
看似科技大国的美国也面临到科技的关卡,
他们要如何解决敌人用科技攻击并征服的问题呢?