近日駭客透過 SolarWinds 供應鏈攻擊，允許遠端攻擊者執行任意程式碼

【影響範圍】

• SolarWinds Orion Platform (2019.4 HF 5~ 2020.2.1 HF 1) 版本

【細節描述】

近期傳出國家級駭客透過 SolarWinds供應鏈攻擊，攻擊美國財政部與商務部等公部門，據說為今年上旬發布的軟體更新版本中，出現後門程式。推測 SolarWinds 這家專門提供IT管理解決方案的公司，早就在去年10月被滲透，而且，駭客是從該公司的基礎程式庫（Codebase）植入後門，導致潛伏許久卻沒有被發現。
揭露 SolarWinds Orion 軟體存在後門的資安公司的 FireEye 指出，SolarWinds 自今年3月到6月之間，推出的 Orion 軟體存在名為 SunBurst 的後門，駭客用來於遭感染的系統監控受害組織，同時能夠執行任意指令。然而，這個後門程式實際上埋伏得更深、更為底層。
威脅情報業者 ReversingLabs 於16日公布對於 SolarWinds Orion 遭駭情況的分析，認為駭客很可能早在2019年10月，就將惡意後門植入到這項IT平臺的軟體編譯流程，以及程式碼簽章的基礎架構之中。
ReversingLabs 比對了特定版本的 Orion 軟體指出，這個階段的程式碼竄改，很明顯只是概念性驗證攻擊(PoC)，可區分成3個階段，首先駭入開發系統，成功後接著會注入自己的程式碼，最後查核他們簽署的軟體套件，是否會派送到 Orion 軟體的用戶端。
為了混淆 SolarWinds 開發人員，在駭客加入Orion程式碼的其中一個類別，就刻意命名為OrionImprovementBusinessLayer，而讓軟體開發者與稽核人員覺得是正常的物件。
駭客在合法的 SolarWinds 函式庫中嵌入了惡意的 SolarWinds.Orion.Core.BusinessLayer.dll 木馬程式 (Sun Burst)，該程式可透過 HTTP 與第三方伺服器交流，而且是經 SolarWinds 簽章的元件。

【建議措施】

請依官方公告說明，盡速修補更新：
(1) 將軟體更新至 Orion Platform 2020.2.1 HF 2 (含)之後版本，修補方式參考
(https://support.solarwinds.com/SuccessCenter/s/article/Orion-Platform-2020-2-1-Hotfix-2?language=en_US)
(2) 受駭版本內含 Sun Bust 木馬程式，會連線以下惡意位址：
[1]( avsvmcloud[.]com )
[2]( 20[.]140.0.1 )
另外建議可先將以上加入黑名單，SOC 也將加入監控，以確認是否受駭！