內容說明:
Orion Platform為SolarWinds所推出之整合式網路管理工具,具備功能模組化與擴展性特色,FireEye研究人員發現其部分版本存在後門程式,並藉由更新機制進行散播,使得攻擊者可遠端操控系統並執行任意程式碼,進而利用運行於SolarWinds Orion Platform上之相關功能模組進行內部擴散,加劇危害程度。
目前已知影響平台如下:
SolarWinds Orion Platform 2019.4 HF 5(版本號為version 2019.4.5200.9083)
SolarWinds Orion Platform 2020.2 RC1(版本號為version 2020.2.100.12219)
SolarWinds Orion Platform 2020.2 RC2(版本號為version 2020.2.5200.12394)
SolarWinds Orion Platform 2020.2(版本號為version 2020.2.5300.12432)
SolarWinds Orion Platform 2020.2 HF 1(版本號為version 2020.2.5300.12432)
建議措施:
1.根據美國國土安全部(DHS)在2020年12月30日所發布之緊急指令(21-02)補充指南,美國國家安全局(NSA)已確認SolarWinds Orion 2020.2.1 HF2版本並未含有惡意程式碼。在此建議有使用SolarWinds Orion Platform產品之機關,參考此更新資訊,聯絡設備維護廠商進行版本確認,並採取下列措施:
(1)若為上述受影響版本,請完整移除後重新安裝SolarWinds Orion Platform 2020.2.1 HF 2版本。
(2)若為其他非受影響版本,請更新至SolarWinds Orion Platform 2020.2.1 HF 2版本。
2.若未能即時完成修補或更新,建議可將FireEye所公開之Snort、Yara、ClamAV或HXIOC規則部署於資安防護設備中,用以偵測或封鎖相關攻擊。連結如下:https://github.com/FireEye/sunburst_countermeasures
參考資料:
1.https://cyber.dhs.gov/ed/21-01/#supplemental-guidance
2.https://www.solarwinds.com/securityadvisory
3. https://github.com/FireEye/sunburst_countermeasures
4. https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
5. https://www.ithome.com.tw/news/141651
6. https://www.ithome.com.tw/news/141666
7. https://www.ithome.com.tw/news/141971