Solorigate: SolarWinds猎户座2020年3月以来平台包含一个后门(阳光)

民族国家威胁演员违反了一个受欢迎的供应链管理软件提供商为了渗透政府机构和私人公司。

12月30日更新:分析、解决方案和确定影响系统部分已经更新,以反映的补丁和可用性的发现一个单独的威胁影响SolarWinds称为超新星,包括开发新披露的脆弱性。

背景

一些新闻媒体,包括12月13日路透,《华盛顿邮报》和《华尔街日报》报道说,美国多个政府机构是一个重要的受害者据说违反有关黑客与民族国家相关联。额外的报告已经证实这种违反和之间的直接连接上周的违反网络安全公司FireEye。

根据一项推特从达斯汀;《华尔街日报》的记者违反的来源是“瑕疵公司SolarWinds。”

俄罗斯已经砍几个政府机构包括财政部和商务部的大范围的攻击,也触及FireEye。他们通过一个缺陷公司SolarWinds, 100年代的成千上万的客户,包括军事和财富500强。https://t.co/l6pC9vwvs6

达斯汀中场(@dnvolz)2020年12月13日

这些新闻文章的出版后,关于违约的附加信息已被公开。

Kim Zetter网络安全和国家安全的记者,在推特上的细节从威胁分析报告(TAR)发布的微软。微软公司开发的协助FireEye违反调查。微软“攻击”Solorigate。”

我对SolarWinds黑客已经从微软的报告,包括国际石油公司。在这个线程摘录:“微软安全研究人员最近发现了一个复杂的攻击,敌人恶意代码插入一个供应链开发过程....1 /

-金Zetter (@KimZetter)2020年12月14日

此外,FireEye发表了一篇博文,提供一个更详细的帐户如何违约发生,其中包括一系列的对策包含指标妥协(国际石油公司)如散列的列表,以及Snort和雅苒规则。FireEye指的是后门为“阳光”。

从我们新博客FireEye: UNC2452那样,高度复杂的攻击者通过供应链软件分发恶意软件攻击。博客包含对这事是怎么发生的,他们所做的妥协和建议缓解措施。https://t.co/0J7kzPt1ti

-本阅读(@bread08)2020年12月14日

12月14日SolarWinds提出一种形式公布与美国证券交易委员会(sec),揭示了这一事件的潜在影响。公布,SolarWinds说,它相信客户的数量与一个活跃的猎户座产品的安装包含这个后门“不到18000。”

分析

据微软的焦油和FireEye博客“尖端”对手突破SolarWinds的供应链管理,公司发展IT基础设施管理软件,导致公司的恶意代码的位置在猎户座软件构建平台。

后门驻留在一个动态链接库(DLL)文件名SolarWinds.Orion.Core.BusinessLayer.dll。文件被SolarWinds与一个有效的数字签名证书3月24日,这意味着它将由底层操作系统信任,不会增加任何警报。

被播种的后门DLL文件的一部分SolarWinds软件构建2020年3月和6月之间,通过SolarWinds网站。一旦一个组织安装恶意软件更新,后门DLL文件将保持在休眠一段前两周开始其操作。这是一个隐形的这个操作的元素。FireEye在其博客上说,后门也成功地“融入合法SolarWinds活动”,以逃避检测。

详细拆解的DLL文件,包括相关的国际石油公司和网络活动,我们强烈建议您阅读FireEye的全面的博客对这一事件做出回应。

据报道,这个操作直到上周一直在雷达下。然而,FireEye指出,活动是“目前正在进行”,“广泛,影响世界各地的公共和私人组织。”

细节才刚刚出现时,我们鼓励使用SolarWinds猎户座平台承担的组织网络受到攻击,且激活现有的事件响应计划,工作与你的内部信息安全团队或与该组织合作进行事件反应来识别您的组织的影响。

通过SolarWinds违反发现超新星:第二次恶意软件组件

12月18日,微软发表了一篇博文,分析了Solorigate恶意软件。在职务,微软提到的发现“额外的恶意软件”“无关”通过Solorigate最初的妥协。这些额外的恶意软件是一个“小持久性后门一个DLL文件的形式。“DLL文件,命名App_Web_logoimagehandler.ashx.b6031896.dll,据说创造了“允许远程代码执行通过SolarWinds web应用服务器”。

一天前微软的博客文章,帕洛阿尔托网络的单位42个团队发表了一篇博文,关于这个额外的恶意软件组件,它研究人员称超新星。

cve - 2020 - 10148:认证绕过缺陷SolarWinds猎户座API

12月26日,CERT协调中心(CERT / CC)发表一个漏洞注意为cve - 2020 - 10148,一个认证绕过漏洞SolarWinds猎户座的API。根据CERT / CC,远程攻击者可以利用漏洞以脆弱的猎户座API实例上执行API命令。相信这个漏洞是用于部署超新星的恶意软件。

报告质量扫描的cve - 2020 - 10148检测到

特洛伊Mursch 12月29日,研究总监坏包,据说在推特上,传感器检测到“质量扫描活动”的cve - 2020 - 10148主机在美国,中国,香港,罗马尼亚和爱尔兰。

解决方案

SolarWinds已经发布一个安全咨询关于这个事件。据该公司介绍,以下构建版本的猎户座平台软件的影响。

影响版本	发布日期
2019.4高频5到2020.2没有热修复补丁	2020年3月到2020年6月
2020.2高频1	2020年6月到2020年7月*

* SolarWinds没有指定哪个版本的2020.2热修复补丁1受到影响,所以我们提供了整个发布日期窗口2020.2热修复补丁1的所有版本。

SolarWinds专门调用以下产品在猎户座的平台,是已知的影响:

• 以应用程序为中心的监控(ACM)
• 数据库性能分析器集成模块(DPAIM)
• 企业操作控制台(转换端)
• 高可用性(HA)
• IP地址管理器(IPAM)
• Log Analyzer(洛杉矶)
• 网络自动化管理器(南)
• 网络配置管理器(不合格品)
• 网络运营经理(笔名)
• 网络性能监控(NPM)
• 网络流量分析仪(NTA)
• 服务器和应用程序监控(SAM)
• 服务器配置监控(SCM)
• 存储资源监控器(SRM)
• 用户设备跟踪(UDT)
• 虚拟化管理器(为)
• 网络电话和网络质量经理(VNQM)
• Web性能监视器(WPM)

猎户座的热修复补丁发布平台现在可用,他们据说解决Solorigate /阳光和超新星。

固定的版本	发布日期
2019.4。高频6	2020年12月14日
2020.2.1高频2	2020年12月15日

热修复补丁2 (HF)取代了妥协DLL组件与真正的DLL组件以及包含额外的安全增强。

除了这些热修复补丁版本,SolarWinds也发布补丁超新星的明确:

超新星补丁	发布日期
2019.2超新星补丁	2020年12月23日
2018.4超新星补丁	2020年12月23日
2018.2超新星补丁	2020年12月23日

这些补丁可以被获得从SolarWinds客户门户。

阳光,如果升级到最新的热修复补丁版本为你的组织是不可行的,SolarWinds提供了一个链接到一个文档确保猎户座的配置平台。

超新星,如果升级到最新的热修复补丁或超新星补丁不是可行的申请您的组织在这个时候,SolarWinds发布了一个缓解脚本能”暂时保护“你的环境。

此外,网络安全和基础设施安全机构(CISA)发布紧急指令21-0112月13日,它提供了指导联邦文职行政分支机构关于这个事件。12月30日,中国钢铁工业协会更新紧急指令与第二个补充指导订购这些机构固定版本的猎户座平台更新到12月31日。

确定影响系统

站得住脚的客户可以利用我们现有检测插件确定所有的SolarWinds猎户座资产在您的环境中。

此外,一个版本检查插件帮助识别影响版本的发布SolarWinds在您的环境中。我们也发布了本地代理检测插件兼容。

最后,一个额外的版本检查插件已经发布了客户识别系统易受cve - 2020 - 10148,据说用于部署超新星恶意软件。

获得更多的信息

• 后门SolarWinds安全顾问猎户座平台
• FireEye博客对阳光后门SolarWinds猎户座平台
• 中钢协紧急指令21-01 SolarWinds猎户座平台后门
• 路透关于美国财政部和NTIA违反的故事
• 纽约时报有篇文章关于FireEye违反

加入站不住脚的安全响应团队站得住脚的社区。

了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。

得到一个天的免费试用站得住脚的。io脆弱性管理。