SolarWinds 供应链攻击通告

报告编号:B6-2020-121403

报告来源:360CERT

报告作者:360CERT

更新日期:2020-12-14

0x01 漏洞简述

2020年12月14日,360CERT监测发现  FireEye  发布了  SolarWinds 供应链攻击通告  的分析报告,事件等级:严重 ,事件评分:10

SolarWInds的产品中存在长达1年的供应链攻击,其产品中被植入多个后门。

后门程序于2020年3月已经被SolarWInds官方应用程序引入,使用SolarWinds的用户需要立即安装更新修复

对此,360CERT建议广大用户好资产自查以及预防工作,以免遭受黑客攻击。

0x02 风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 严重
影响面 广泛
360CERT评分 10

0x03 事件详情

SolarWinds Inc.是一家美国公司,为企业提软件以帮助管理其网络,系统和信息技术基础架构。根据其官网简介,SolarWinds的客户包括了”财富美国500强“(Fortune 500)企业、美国所有前十大电信业者、美军所有五大部队、美国国务院、国家安全局,以及美国总统办公室等。

根据SolarWinds官方发布安全公告,SolarWinds Orion平台软件在2020年3月至6月之间发布的2019.4 - 2020.2.1版本都受到了供应链攻击的影响,这些版本的安装包内存在恶意的后门应用程序。

这些安装程序通过 SolarWinds 的数字证书绕过了检查。安装更新后会释放一个 SolarWinds.Orion.Core.BusinessLayer.dll 文件,该文件被Orion平台通过 SolarWinds.BusinessLayerHostx[64].exe 当作额外的插件进行加载。

该后门在经过长达两个星期的休眠期后,会根据C2返回的指令进行活动。(包括传输文件,执行文件,对系统进行配置文件,重新引导计算机以及禁用系统服务)

同时该恶意程序的所有网络通信都会伪装成  Orion Improvement Program (OIP)协议的网络流量,并将通信返回结果存储在合法的插件配置文件中,从而使其能够无缝的与SolarWinds自身活动融合。进而达到隐蔽的目的。

相关文件:

- CORE-2019.4.5220.20574-SolarWinds-Core-v2019.4.5220-Hotfix5.msp (02af7cec58b9a5da1c542b5a32151ba1)

SolarWinds升级程序中也包含了该后门应用程序,系统管理员若在 2020年3月-6月期间安装过更新,受到该次攻击影响。

0x04 修复建议

通用修补建议

升级到  2020.2.1 HF 1

并于 2020年12月15日升级到  2020.2.1 HF2

SolarWinds 为商业软件请联系 swisupport#solarwinds.com 获取支持

0x05 解决方案

360 安全大脑

目前360安全大脑、360情报云等360政企全线安全产品可以检测和防御SolarWinds软件供应链攻击。

360安全大脑已提供  SolarWinds供应链后门专杀工具 ,请联系  ata#360.cn  获取。

0x06 时间线

2020-12-13 FireEye公开SUNBURST攻击细节

2020-12-14 360CERT发布通告

0x07 参考链接

1、 FireEye-SolarWinds供应链攻击报告

https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

0x08 特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。

SolarWinds 供应链攻击通告

http://pub-shbt.s3.360.cn/cert-public-file/【360CERT】SolarWinds_供应链攻击通告.pdf

若有订阅意向与定制需求请发送邮件至g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

推荐阅读:

1、CVE-2020-26258/26259: XStream 反序列化漏洞通告

2、安全事件周报 (12.07-12.13)

3、安全运营周刊第十九期

标签: