【安全风险通告】顶级网络管理软件被植入后门

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

风险通告

近日，奇安信CERT监测到SolarWinds发布安全通告，该通告指出2019.4 HF 5至2020.2.1版本的SolarWinds Orion 软件遭受了高度复杂的供应链攻击。建议客户尽快将受影响产品升级至Orion Platform版本2020.2.1 HF 1。

漏洞描述

SolarWinds Orion Platform 是一个强大、可扩展的基础架构监视和管理平台，它用于以单个界面的形式简化本地、混合和软件即服务 (SaaS) 环境的 IT 管理。该平台可对网络设备提供实时监测和分析，并支持定制网页、多种用户意见和对整个网络进行地图式浏览等。

近日，奇安信CERT监测到SolarWinds发布安全通告，该通告指出2019.4 HF 5至2020.2.1版本的SolarWinds Orion 软件遭受了高度复杂的供应链攻击。建议客户尽快将受影响产品升级至Orion Platform版本2020.2.1 HF 1。

12月13日，FireEye披露了将SolarWinds Orion商业软件更新木马化的供应链攻击，Orion软件框架的SolarWinds数字签名组件SolarWinds.Orion.Core.BusinessLayer.dll被插入一个后门，该后门通过HTTP与第三方服务器进行通信。据FireEye所述网络管理软件，该攻击可能最早出现在2020年春季，目前正处于持续攻击状态。攻击者从2020年3月至2020年5月，对多个木马更新进行了数字签名，并发布到SolarWinds更新网。FireEye已在GitHub上公开了该后门的特征及检测规则，如下所示：

风险等级

奇安信 CERT风险评级为：高危

风险等级：蓝色（一般事件）

影响范围

2019.4 HF 5 程序和功能>查看已安装的更新。

2.向下滚动到SolarWinds以查看已安装的修补程序列表：

升级到Orion Platform版本2020.2.1 HF 1或以上版本：

缓解措施：

1.在进行进一步的检查和调查之前，确保将SolarWinds服务器隔离，包括阻止所有来自SolarWinds服务器的Internet出口。

2.如果未隔离SolarWinds基础架构，请考虑采取以下步骤：

(1)限制从SolarWinds服务器到客户端的连接范围。

(2)限制在SolarWinds服务器上具有本地管理员特权的帐户。

(3)使用SolarWinds软件阻止来自服务器或其他客户端的Internet出口。

3.考虑更改有权访问SolarWinds服务器/基础架构的账户的密码。

4.如果将SolarWinds用于托管网络基础架构，请对网络设备配置进行审核，以禁止非预期/未授权的修改。请注意，这是一个基于SolarWinds功能的主动防护措施，而不是基于研究结果的防护措施。

产品解决方案

奇安信网神统一服务器安全管理平台更新入侵防御规则库

奇安信网神虚拟化安全轻代理版本可通过更新入侵防御规则库2020.12.15版本，支持对SolarWinds供应链安全事件（SolarWinds后门）的防护，当前规则正在测试中，将于12月15日发布，届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。

奇安信网神统一服务器安全管理平台可通过更新入侵防御规则库10316版本，支持对SolarWinds供应链安全事件（SolarWinds后门）的防护，当前规则正在测试中，将于12月15日发布，届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS3000/5000/9000系列）产品，已具备该事件的检测能力。规则ID为：60235网络管理软件，建议用户尽快升级检测规则库至2012141300以后版本并启用该检测规则。

奇安信威胁情报中心专杀工具

奇安信已针对受污染版本推出了专杀工具，如有需要可联系ti_support@qianxin.com

参考资料

[1]

[2]

时间线

2020年12月14日，奇安信 CERT发布安全风险通告

奇安信A-TEAM期招募安全研究员

———END———
限 时 特 惠： 本每日持续更新海量各大内部创业教程，一年会员只需98元，全资源免费下载 
优惠码（不再需要）： xnbaoku