吳明宜本月初 FireEye 遭到 SolarWinds 供應鏈攻擊的同一幫駭客入侵,竊走該公司模擬網路攻擊的紅隊評估工具。安全廠商 Qualys 本周指出,這套工具已經被用來對其他企業的連網環境發動攻擊,數百萬台裝置受到影響。
Qualys 指出,從 FireEye 發佈消息以及 SolarWinds 供應攻擊曝光以來,該公司就利用雲端工具針對 1.5 萬家客戶環境進行監測。他們發現,有超過 750 萬個執行個體和 FireEye 被竊工具有關,散佈於 529 萬台不同資產(包括伺服器和電腦)。相較之下,和被植入 Sunburst 後門程式的 SolarWinds Orion 軟體有關的漏洞執行個體,在其客戶群中才只有數個百個。
FireEye 12 月初公告此事時說,被竊的紅隊評估工具不包含針對零時差漏洞的工具,意謂者這些漏洞都已經有修補程式或緩解方法。
FireEye 紅隊工具遭洩漏針對 16 項漏洞而來
FireEye 工具開採了主要軟體的 16 項漏洞,包括 Pulse Secure VPN 、微軟、 Fortinet 、 Atlassian 、 Citrix 、 Zoho 及 Adobe 等產品。不過 Qualys 發現到的絕大多數(99.84%)問題執行個體,主要和微軟產品的 8 個中、高風險漏洞有關。只要上完修補程式應該就能大幅降低攻擊表面。
這 8 項漏洞包括 Windows Netlogon 權限升級漏洞 (Zerologon) 、 Windows RDS 遠端程式碼執行漏洞 (BlueKeep) 、及存在 Office/Office Services 、群組政策、 Exchange 及顯卡元件中的漏洞。微軟已經分別發佈更新版本軟體。
另一家業者 Vulcan Cyber 也發佈了和 FireEye 工具漏洞的分析報告。兩家公司,包括微軟、 FireEye 也都分別釋出一段時間的免費工具,或實作 Sunburst(微軟稱為 Solargate)的防護協助企業解決漏洞問題。
Qualys 指出,這也顯示定時更新修補程式的重要性。此外,安全公司也建議企業暫時移除網路上的 SolarWinds Orion 2019.4 到 2020.2.1 HF1 版本,並且做好相關軟體和作業系統的安全控制。
FireEye 報告時僅指攻擊者為國家有關的駭客組織,但美國基礎架構及網路安全署則點名犯案者為和俄羅斯政府有關的 APT 29 或 Cozy Bear 。
SolarWinds 在呈報美國證管會的文件顯示,由於駭客只鎖定 Orion 平台下載後門程式,估計受影響的企業用戶不超過 1.8 萬。
來源:SecurityWeek 、 Qualys