吳明宜美國網路安全暨基礎架構安全署(CISA)昨日發出命令,要求所有美國聯邦政府機關在 12 月 31 日下班前升級 SolarWinds 的 Orion 平台到最新版本。
CISA 新發出的緊急指令補充指引要求,所有使用未受影響版本的聯邦政府部門在 2020 年結束前將所有連上聯邦政府網路的執行個體升級到 2020.2.1 HF2,以免遭到駭客利用 SolarWinds Orion 問題軟體進行供應鏈攻擊。而 CISA 之後也會再釋出相關補充指令。
CISA 指出,這個最新版本經過美國國家安全局檢驗,證明已不包含之前發現的惡意程式。
12 月初安全公司發現 SolarWinds 的 Orion 平台的更新機制被駭客用來下載惡意程式到客戶網路上。安全廠商甚至發現駭客可能從 2019 年底就開始為攻擊進行測試。 SolarWinds 判斷有 1.8 萬家客戶受到影響,連微軟、 FireEye 都未能倖免。美國政府部門包括財政部、國土安全部等也都被駭入。第一波發現的惡意程式為後門程式 Sunburst(或 Solargate),但上周微軟和安全廠商 Palo Alto Networks 又發現另一隻後門程式 Supernova 開採 Orion API 上的漏洞 CVE-2020-10148,入侵用戶網路。
SolarWinds 已發佈可同時防堵 Sunburst 及 Supernova 的 Orion 2019.4 HF6 及 2020.2.1 HF2 平台版本。
最新指令是針對未受影響的版本。至於曾經受害的版本,據 CISA 及安全公司的調查,受影響的 Orion 版本包括 2019.4 HF5 、 2020.2 RC1 、 2020.2 RC2 、 2020.2, 2020.2 HF1 ,跑這些版本的系統應分別升級到 2019.4 HF6 及 2020.2.1 HF2 以免於 Sunburst 及 Supernova 之害。