吳明宜跨年前最後一件事?美國政府要求所有政府部門12/31前升級SolarWinds軟體
美國網路安全暨基礎架構安全署(CISA)昨日發出命令,要求所有美國聯邦政府機關在12月31日下班前升級SolarWinds的Orion平台到最新版本。
CISA新發出的緊急指令補充指引要求,所有使用未受影響版本的聯邦政府部門在2020年結束前將所有連上聯邦政府網路的執行個體升級到 2020.2.1 HF2,以免遭到駭客利用SolarWinds Orion問題軟體進行供應鏈攻擊。而CISA之後也會再釋出相關補充指令。
CISA指出,這個最新版本經過美國國家安全局檢驗,證明已不包含之前發現的惡意程式。
12月初安全公司發現SolarWinds 的Orion平台的更新機制被駭客用來下載惡意程式到客戶網路上。安全廠商甚至發現駭客可能從2019年底就開始為攻擊進行測試。SolarWinds判斷有1.8萬家客戶受到影響,連微軟、FireEye都未能倖免。美國政府部門包括財政部、國土安全部等也都被駭入。第一波發現的惡意程式為後門程式Sunburst(或Solargate),但上周微軟和安全廠商 Palo Alto Networks又發現另一隻後門程式Supernova開採Orion API上的漏洞CVE-2020-10148,入侵用戶網路。
SolarWinds已發佈可同時防堵Sunburst及Supernova的Orion 2019.4 HF6 及2020.2.1 HF2平台版本。
最新指令是針對未受影響的版本。至於曾經受害的版本,據CISA及安全公司的調查,受影響的Orion版本包括2019.4 HF5、2020.2 RC1、 2020.2 RC2、2020.2, 2020.2 HF1 ,跑這些版本的系統應分別升級到2019.4 HF6 及2020.2.1 HF2以免於Sunburst及Supernova之害。