1.轉錄網址︰
※ 網址超過一行 請縮網址 ※
https://bit.ly/2KxSvkH
2.轉錄來源︰
※ FB公眾人物、FB粉絲團名稱、其他來源 ※
ithome
3.轉錄內容︰
※ 請完整轉載原文 請勿修改內文與編排 ※
美國國土安全部發布緊急指令,要聯邦機構立即關閉被植入木馬的SolarWinds系統
文/陳曉莉 | 2020-12-15發表
在日前傳出美國財政部與商務部遭到國家支持的駭客攻擊,且與這些機構所使用的IT監
管平臺SolarWinds Orion有關之後,美國國土安全部旗下的網路安全暨基礎架構安全署
(CISA)在周日(12/13)發布了緊急指令,要求所有的聯邦機構應該檢查它們的網站,
並立即關閉或斷開所使用的SolarWinds Orion產品。
CISA代理主任Brandon Wales指出,被危害的SolarWinds Orion網路管理產品對聯邦網路
帶來了無法承受的安全風險,此一緊急指令是為了減輕可能的威脅,同時督促不管是公
、私領域的部門,都應該審慎評估自己是否曝露在風險之中。
SolarWinds為美國專門研發系統/網路/基礎設施管理軟體的業者,全球客戶數為30萬家
,包括眾多的美國聯邦機構在內。SolarWinds坦承,從今年3月到6月間釋出的SolarWin
ds Orion Platform 2019.4 HF 5至2020.2.1版本遭到駭客攻擊,另也在本周一(12/14
)提交給證券交易委員會(SEC)的文件中說明,安裝含漏洞Orion Platform版本的客戶
數接近1.8萬家。
駭客藉由SolarWinds Orion的安全漏洞滲透到客戶的內部網路,並藏匿於受害者的系統
上長達數月之久。
資安業者FireEye與微軟都積極地對此一攻擊行動展開調查,發現駭客於SolarWinds Or
ion平臺上植入了木馬程式。
目前僅確定駭客是在合法的SolarWinds函式庫中嵌入了惡意的SolarWinds.Orion.Core.
BusinessLayer.dll木馬程式,該程式可透過HTTP與第三方伺服器交流,而且是經Solar
Winds簽章的元件。
Microsoft 安全回應中心(MSRC)指出,他們目前並不知道該木馬程式是如何進駐Sola
rWinds函式庫的,也許是危害了SolarWinds的內部版本或散布系統,使得此一木馬程式
得以隨著自動化更新進入受害者網路。
一旦進入受害者網路,駭客就會利用危害本地端時所取得的管理權限,試圖進一步取得
組織的全球管理帳號或可靠的SAML權杖,將允許駭客於受害組織中的應用程式或服務建
立自己的憑證。
雖然SolarWinds已釋出了修補的Orion Platform 2020.2.1 HF 1,亦即將於12月15日釋
出強化安全機制的Orion Platform 2020.2.1 HF 2,但CISA還是要求美國聯邦機構立即
關閉Orion產品,而FireEye則建議,若無法隔離SolarWinds基礎設施,那麼應該要限制
SolarWinds伺服器與端點的連結,限制於SolarWinds伺服器上的管理帳號權限,封鎖採
用SolarWinds軟體的伺服器或端點的網路出口,也應考慮更新帳號憑證。
另一方面,在分析駭客攻擊手法的當下,FireEye並未證實自己是否也是此波攻擊的受害
者之一。
4.附註、心得、想法︰
美國啥都外包,從投票到政府機關的網路安全到台灣皆外包
難怪到最後都一個個反噬,甚至想藉機控制美國的一切,
看似科技大國的美國也面臨到科技的關卡,
他們要如何解決敵人用科技攻擊並征服的問題呢?