[重大資安事件] 美國國土安全部發布緊急指令,要聯邦機構立即關閉被植入木馬的SolarWinds系統

資安事件背景
SolarWinds為美國系統/網路/IT設施管理軟體的業者,全球客戶數達30萬家,包括全美五百大企業中的425家、前十大電信業者、美國軍方、美國國防部、國務院、NSAS、國安局、郵政服務、司法部,以及美國總統辦公室等。近期遭到駭客攻擊發生嚴重資安事件,美國國土安全部發布緊急指令,要求聯邦機構關閉SolarWinds系統

⚠ 媒體描述與摘要

(一)國家級駭客透過供應鏈攻擊美國財政部與商務部
 
路透社與華爾街日報本周日(12/13)引述消息來源報導,美國的財政部與商務部近日遭到駭客攻擊,美國國土安全部所屬的 網路安全與基礎設施安全局CISA 要求所有聯邦機構網站關閉 SolarWinds Orion 這款IT監管平臺。
(二)駭客開採SolarWinds Orion漏洞植入後門,已滲透數個月
 
12月14日SolarWinds坦承,從今年3月到6月間釋出的 SolarWinds Orion Platform 2019.4 HF 5至2020.2.1版本 遭到駭客攻擊,目前安裝含漏洞Orion Platform版本的客戶數接近1.8萬家。
(三)FireEye坦承遭駭客攻擊,造成該公司提供安全測試工具外洩
 
全球最大安全軟體公司之一 FireEye 12月8日公布,近日遭到疑似國家支持的駭客攻擊,造成該公司提供安全測試的 紅隊工具外洩。該公司表示,他們已於GitHub提供相關的 入侵指標(IoC)Snort Yara 特徵碼等資訊,並強調他們提供的工具都是利用 已知漏洞
⚠ 新聞內容分析
 
(一)國際資安大廠陸續中招,企業機構應盤點數位資產,加強更新
 
目前調查顯示應是SolarWinds在春季開始的 例行更新遭駭客中間人攻擊,被 植入惡意軟體,進而利用SolarWinds的市場滲透率攻擊相關機構的網路設備與竊取資料。因此建議公司機構盡可能限制供應商的資料數據存取權限,並為第三方供應商可能存在的違規行為做好心理準備或資料備份。
(二)企業對於系統已知漏洞要即時更新解決
 
針對 FireEye 這次遭外洩的 紅隊演練工具,思科列出了當中利用的16個漏洞CVE編號與Snort特徵碼,呼籲企業進行更新防範。其中這些漏洞分佈在 Windows作業系統網路安全設備電子郵件系統協作平臺身分驗證 管理系統及 IT管理 工具等。會發生的原因很可能和許多企業尚未即時修補漏洞有關。例如,今年4月資安業者Rapid7發現,微軟在2月修補的 CVE-2020-0688 漏洞,仍有35萬臺Exchange伺服器未修補。同樣在去年已經發佈更新的 CVE-2018-13379 SSL VPN 漏洞,在今年11月下旬,仍有駭客在論壇張貼近5萬個未修補漏洞的Fortinet SSL VPN設備名單。這也代表著企業面對這種重大漏洞,應該需要採取更為快速的策略,以避免在尚未修補的空窗期成為駭客下手攻擊的對象。
⚠  企業因應作為建議
 
(一)檢視公司是否有使用SolarWinds相關上下游解決方案
 
檢視企業轄屬主機、伺服器、網通裝置是否使用SolarWind相關網路管理、系統管理、資安監管、資料庫管理、應用程式管理與服務託管等服務,包含相關服務模組。
(二)若有使用需先進行日誌清查,掌握漏洞是否已被利用,並進行修復排除
 
根據盤點結果如有使用上述系統模組時,若判定為 高重要性 時可視為資安事件處理,應立即聯繫轄屬廠商以及進行資安事件通報,並 視事件影響範圍關閉相關服務,處理原則應先保存設備與系統完整性(包含系統狀態、資料庫、日誌)。
(三)聯絡原廠或代理商進行漏洞修補與更新
 
目前SolarWind原廠已 中止含有漏洞版本之軟體下載,並提供 SolarWind Orion Platform 2020.2.1 HF2更新版本 協助用戶進行更新。若無法更新者,企業可聯絡原廠或代理商進行漏洞修補與更新,建議後續導入 Secuirty OTA (安全線上更新) 機制,以滾動式調整完備資安事件因應作為。
(四)訂閲公司重要軟體資產相關弱點情資,持續追蹤管理
 
確實盤點相關軟體安裝,或透過 訂閲安全管理工具 以持續盤點公司軟體資產之相關弱點情資,於相關重要漏洞遭揭露時第一時間收到相關情資,儘速施行相關災損控制與修補更新作業。
本篇由新興資安產業生態系推動計畫團隊整理,更詳細與完整的分析與因應,請下載PDF檔:
 
關於漏洞修補、情資訂閱、軟體清查盤點服務,更多國產資安方案,歡迎至「產品服務」參閱
Scroll to Top