SolarWinds说18,000名客户受到近期黑客事件的影响

2020-12-16 02:13:46

IT软件提供商SolarWinds在周一向美国证券交易委员会提交的文件中淡化了最近的安全漏洞。

SolarWinds周日披露,一个国家级黑客组织破坏了其网络,并在Orion(用于IT库存管理和监视的软件应用程序)的更新中插入了恶意软件。

SolarWinds在一份安全公告中表示,从2020年3月到2020年6月发布的Orion应用程序版本2019.4至2020.2.1被恶意软件污染。

木马Orion更新使攻击者可以在SolarWinds客户网络上部署其他高度隐蔽的恶意软件。

但是,尽管周日的最初新闻报道表明,所有SolarWinds'客户受到影响,在今天提交的SEC文件中,SolarWinds表示,在其300,000名客户中,只有33,000名使用了Orion(用于IT库存管理和监视的软件平台),并且相信不到18,000名安装了由恶意软件标记的更新。

该公司表示,即使他们没有安装木马化的Orion更新,它仍在周日通知了其所有33,000个Orion客户,并提供了有关他们可能采取的黑客和缓解措施的信息。

在周日和今天向SEC提交的安全公告中,SolarWinds表示计划在周二发布Orion更新,其中将包含代码以从客户系统中删除任何恶意软件痕迹。

如果客户不能等到周二,微软,FireEye和美国网络安全和基础设施局(CISA)也在周日发布了技术报告,其中包含有关如何识别由SolarWinds Orion交付的恶意软件(由SUNBURST命名为Microsoft的FireEye和Solarigate),将其从系统中删除,并检测黑客是否以对内部网络的第二阶段攻击为中心。

但是,尽管有关如何通过受污染的Orion恶意软件将黑客从SolarWinds转移到客户网络的细节已经曝光,但SolarWinds尚未说明黑客如何破坏其自身的网络。

但是,在同一份SEC文件中,SolarWinds表示,它还从Microsoft那里了解到Office 365电子邮件和Office生产力帐户遭到破坏的情况。

该公司表示,目前正在调查攻击者是否利用对电子邮件帐户的访问来窃取客户数据。

SolarWinds并未明确表示此电子邮件帐户遭到入侵,导致黑客获得了访问支持Orion应用程序更新机制的服务器基础结构的权限。

SolarWinds Orion平台黑客正在逐渐成为近年来最重要的黑客之一。

目前,SolarWinds安全漏洞已与美国安全公司FireEye,美国财政部以及美国商务部国家电信和信息管理局(NTIA)的黑客行为有关。

但是,这种黑客的情况预计会严重得多。福布斯》今天报道说,SolarWinds是美国政府的主要承包商,其定期客户包括CISA,美国网络司令部,国防部,联邦调查局,国土安全部,退伍军人事务部等。 。

此外,正在将事件作为其自身安全漏洞的一部分进行调查的FireEye表示,攻击者还破坏了全世界的目标,而不仅限于美国,包括跨多个垂直领域的政府和私营部门公司。

路透社今天援引业内消息人士的话报道,尽管Orion平台的安装基础广泛,但攻击者似乎只专注于少数几个高价值目标,而使大多数Orion客户不受影响。

几位IT管理员今天报告说,他们在系统上发现了带有恶意软件标记的Orion更新的迹象,但是他们没有发现第二阶段有效负载的迹象,攻击者通常使用该阶段有效负载来升级对其他系统和内部客户网络的访问。

SolarWinds今天在SEC文件中表示,在2020年的前三个季度,Orion产品线的收入带来了约3.43亿美元,约占公司总收入的45%。

如果客户最终放弃了该应用程序,则此安全漏洞的后果将最终对SolarWinds'产生重大影响。底线也是如此。