美国网络安全和基础设施安全局已更新其官方指南,以应对SolarWinds供应链攻击的后果。
在昨晚发布的更新中,CISA表示,所有仍在运行SolarWinds Orion平台的美国政府机构必须在年底之前将其更新为最新的2020.2.1HF2版本。
根据CISA最初于12月18日发布的指南,在该截止日期之前无法更新的代理商将使所有Orion系统都离线。
安全研究人员在圣诞节假期期间发现了SolarWinds Orion应用程序中的一个新的重大漏洞之后,发布了指南更新。
漏洞跟踪为CVE-2020-10148,是Orion API中的身份验证绕过漏洞,攻击者可以通过此漏洞在Orion安装上执行远程代码。
该漏洞被广泛利用,以在与Orion平台供应链事件分开的攻击中在安装Orion平台的服务器上安装Supernova恶意软件。
作为最初的SolarWinds供应链攻击的一部分,黑客入侵了SolarWinds'。内部网络,并更改了Orion应用的多个版本以添加恶意软件。
在2020年3月至2020年6月之间发布的所有Orion应用程序更新(2019.4至2020.2.1版本)都感染了名为Sunburst(或Solorigate)的恶意软件。
据SolarWinds称,该恶意软件至少已由18,000家公司安装。 Sunburst只是第一阶段的侦察模块,它使攻击者可以将感染升级到第二阶段,在那里他们部署了一个名为Teardrop的恶意软件。
SolarWinds于12月15日发布了2020.2.1HF2版本以应对攻击,声称安装此更新将从其系统中删除与Sunburst相关的代码的任何痕迹(在安装最初受污染的Orion版本之后出现在受害网络中)。
"国家安全局(NSA)已检查此版本[2020.2.1HF2],并确认它已消除了先前确定的恶意代码," CISA周二表示。
但是,除了从受感染的主机中删除与森伯斯特相关的恶意软件代码外,CISA还主要敦促政府机构将其更新至2020.2.1HF2,以确保威胁行为者无法利用任何其他与Orion相关的错误,例如严重的CVE-2020- 10148漏洞,对已经从最初的供应链攻击中退缩的美国联邦机构实施新的攻击。
在发布此指南更新之前,CISA还为IT和安全专家发布了一个免费工具,用于处理SolarWinds供应链攻击中的事件响应(IR)。
该工具是PowerShell脚本,可帮助检测Azure或Microsoft 365环境中可能遭到破坏的帐户和应用程序。
微软在昨天发布的一份报告中表示,SolarWinds黑客的目标是进入公司。 通过受污染的Orion应用程序更新网络,然后升级其对受害者的访问权限 本地网络,最后是受害者 基于云的环境,其中聚合了大多数敏感数据。 CrowdStrike上周表示,它也是SolarWinds黑客的攻击目标,但攻击失败了,它还发布了与CISA发布的工具类似的工具。 该工具名为CRT,可以帮助识别Azure AD和Office 365公司网络内部具有广泛访问权限的帐户。 CISA和CrowdStrike工具都可用于发现不受管理员控制的具有广泛权限的帐户。