SolarWinds Orion API 和 Windows DNS 是最... - Vulcan Cyber

国家级威胁行为者通过破坏一家知名IT管理软件供应商的供应链，成功渗透到多个政府机构和私营企业的网络中。

背景

2020年12月13日，多家媒体（包括路透社、《华盛顿邮报》和《华尔街日报》）报道，美国多个政府机构遭遇重大数据泄露事件。据悉，此事件与某国家级黑客组织有关。随后，更多信息表明，此次数据泄露与网络安全公司FireEye此前遭受的攻击存在直接关联。

12月14日，SolarWinds向美国证券交易委员会提交了8-K表格，披露了事件的潜在影响。SolarWinds表示，主动安装包含后门的Orion产品的客户数量约为18,000。

分析

根据微软TAR和FireEye的分析报告，一支“高度复杂”的攻击团队成功破坏了SolarWinds的供应链，将恶意代码植入其Orion平台软件中。后门代码被嵌入到一个名为 SolarWinds.Orion.Core.BusinessLayer.dll 的动态链接库（DLL）文件中，该文件于2020年3月24日通过SolarWinds的有效数字签名发布。

攻击过程

1. 后门植入：2020年3月至6月期间，恶意DLL文件作为SolarWinds软件更新的一部分被分发。
2. 休眠机制：安装后，后门DLL文件会在运行前休眠两周，以降低被检测的风险。
3. 隐蔽性：后门代码能够伪装成合法的SolarWinds活动，从而逃避安全检测。

FireEye指出，此次攻击的范围广泛，影响了全球多个公共和私人组织。尽管攻击直到最近才被发现，但目前仍在持续进行。

附加威胁

12月18日，微软分析了名为“Solorigate”的恶意软件，并发现了一个额外的后门程序。该后门以DLL文件形式存在，名为 App_Web_logoimagehandler.ashx.b6031896.DLL，旨在通过SolarWinds Web应用程序服务器执行远程代码。

12月29日，Bad Packets的首席研究官Troy Mursch在推特上表示，检测到来自多个国家的主机对漏洞 CVE-2020-10148 进行大规模扫描活动。

解决方案

SolarWinds确认其Orion平台的以下产品受到影响：

• 应用程序为中心的监视器（ACM）
• 数据库性能分析器集成模块（DPAIM）
• 企业操作控制台（EOC）
• 高可用性（HA）
• IP地址管理器（IPAM）
• 日志分析器（LA）
• 网络自动化经理（NAM）
• 网络配置管理器（NCM）
• 网络运营经理（NOM）
• 网络性能监视器（NPM）
• 网络流量分析器（NTA）
• 服务器和应用程序监视器（SAM）
• 服务器配置监视器（SCM）
• 存储资源监视器（SRM）
• 用户设备跟踪器（UDT）
• 虚拟化管理器（VMAN）
• VoIP网络质量管理器（VNQM）
• Web性能监视器（WPM）

修复措施

SolarWinds已发布修补程序（HF 2），用于替换受损的DLL文件，并提供额外的安全增强功能。此外，还针对SUPERNOVA威胁单独发布了补丁。

对于无法立即升级到最新修补程序版本的组织，SolarWinds提供了保护Orion平台配置的相关文档链接。

总结

此次SolarWinds供应链攻击事件揭示了国家级威胁行为者的高超技术和隐蔽手段。受影响的组织应立即启动事件响应计划，评估网络安全状况，并采取必要的修复措施，以降低潜在风险。未来，企业需加强供应链安全管理，提升整体网络防御能力。

原文链接: https://vulcan.io/blog/solarwinds-orion-api/