近日駭客透過 SolarWinds 供應鏈攻擊,允許遠端攻擊者執行任意程式碼

風險等級: 高度威脅
摘 要: 【弱點說明】事件通告:近日駭客透過 SolarWinds 供應鏈攻擊,允許遠端攻擊者執行任意程式碼,建議管理者盡速確認並修補更新!

【影響範圍】

  • SolarWinds Orion Platform (2019.4 HF 5~ 2020.2.1 HF 1) 版本

【細節描述】

近期傳出國家級駭客透過 SolarWinds供應鏈攻擊,攻擊美國財政部與商務部等公部門,據說為今年上旬發布的軟體更新版本中,出現後門程式。推測 SolarWinds 這家專門提供IT管理解決方案的公司,早就在去年10月被滲透,而且,駭客是從該公司的基礎程式庫(Codebase)植入後門,導致潛伏許久卻沒有被發現。
揭露 SolarWinds Orion 軟體存在後門的資安公司的 FireEye 指出,SolarWinds 自今年3月到6月之間,推出的 Orion 軟體存在名為 SunBurst 的後門,駭客用來於遭感染的系統監控受害組織,同時能夠執行任意指令。然而,這個後門程式實際上埋伏得更深、更為底層。
威脅情報業者 ReversingLabs 於16日公布對於 SolarWinds Orion 遭駭情況的分析,認為駭客很可能早在2019年10月,就將惡意後門植入到這項IT平臺的軟體編譯流程,以及程式碼簽章的基礎架構之中。
ReversingLabs 比對了特定版本的 Orion 軟體指出,這個階段的程式碼竄改,很明顯只是概念性驗證攻擊(PoC),可區分成3個階段,首先駭入開發系統,成功後接著會注入自己的程式碼,最後查核他們簽署的軟體套件,是否會派送到 Orion 軟體的用戶端。
為了混淆 SolarWinds 開發人員,在駭客加入Orion程式碼的其中一個類別,就刻意命名為OrionImprovementBusinessLayer,而讓軟體開發者與稽核人員覺得是正常的物件。
駭客在合法的 SolarWinds 函式庫中嵌入了惡意的 SolarWinds.Orion.Core.BusinessLayer.dll 木馬程式 (Sun Burst),該程式可透過 HTTP 與第三方伺服器交流,而且是經 SolarWinds 簽章的元件。

【建議措施】

請依官方公告說明,盡速修補更新:
(1) 將軟體更新至 Orion Platform 2020.2.1 HF 2 (含)之後版本,修補方式參考
(https://support.solarwinds.com/SuccessCenter/s/article/Orion-Platform-2020-2-1-Hotfix-2?language=en_US)
(2) 受駭版本內含 Sun Bust 木馬程式,會連線以下惡意位址:
[1]( avsvmcloud[.]com )
[2]( 20[.]140.0.1 )
另外建議可先將以上加入黑名單,SOC 也將加入監控,以確認是否受駭!

參考資訊: iThome(SolarWinds_12-18)
iThome(SolarWinds_12-17)
SolarWinds
FireEye

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *