1.新闻网址︰
※ 网址超过一行 请缩网址 ※
https://bit.ly/3hoVd8u
2.新闻来源︰
IThome
3.完整新闻标题
※ 请完整转载标题 请勿修改与编排 ※
SolarWinds发布官方通知,证实另一木马程式Supernova的存在
4.完整新闻内容︰
※ 请完整转载原文 请勿修改内文与编排 ※
SolarWinds释出可防范木马程式Supernova及Sunburst攻击的Orion Platform 2019.4 H
F6与Orion Platform 2020.2.1 HF2。
就在资安业者相继指出SolarWinds的Orion Platform平台除了被植入Sunburst木马程式
以外,也出现了另一个名为Supernova的木马程式之后,SolarWinds在27日发布了官方的
安全通知,证实Supernova的存在。
根据资安业者Palo Alto Networks的分析,Supernova为app_web_logoimagehandler.as
hx.b6031896.dll的木马版,此一DLL档案原本是SolarWinds私有的.NET函式库,作为HT
TP API使用,可回应Orion元件的查询,但骇客在此一档案中加入了4个新参数,再利用
恶意的手法于Orion主机上执行它们。
SolarWinds则解释,Supernova与Sunburst不同,它并非属于供应链攻击,而是置放在一
个不需授权就可存取客户网络的服务器上,并伪装成Supernova产品的一部分。
Supernova恶意程式由两个元件所组成,其中之一为未经签署、且专为Orion平台撰写的
恶意DLL档案,第二个则是利用Orion平台漏洞来部署该恶意DLL档案的开采程式。
由于Supernova与Sunburst的攻击手法大不相同,Sunburst不但具备签章,而且直接进驻
了Orion平台构建系统,属于复杂的供应链攻击,而Supernova属于Webshell攻击,且不
具签章,使得资安业者推测Orion平台可能同时遭到不同骇客集团的危害。对此,Solar
Winds表示,此时该公司对Supernova与Sunburst之间是否有关并无定论,将继续与执法
机关及资安业者密切合作以确定答案。
此外,不管是资安业者或SolarWinds都判断,这应是属于外国骇客集团的攻击行动,但
SolarWinds说目前尚不确定攻击来源。
值得提醒的是,SolarWinds已释出可防范Supernova及Sunburst攻击的Orion Platform
2019.4 HF6与Orion Platform 2020.2.1 HF2,若无法立即升级,亦可下载SolarWinds所
提供的暂时修补程式。
5.附注、心得、想法︰
※ 40字心得、备注 ※
谁知道这公司放出来的修补版本会不会又含毒?
这件事情搞的美国人仰马翻的,还是换了它吧
这次的太阳风在美国有多严重:https://bit.ly/3mV35A2
太阳风公司的八卦:https://bit.ly/3nQS9oh