本周美国政府主要IT软件服务外包商SolarWinds的安全漏洞事件吸引了大家的眼球。CISA(美国政府的网络安全和基础设施安全局)甚至发出了一项紧急命令,要求使用该公司相关产品的政府机构在12月14日以前下线相关产品。甚至网传FBI和德州的执法队伍突袭了该公司在德州奥斯丁的总部。据悉,在大选中饱受诟病的Dominion公司也是该产品的用户。
SolarWinds在周一提交给美国证券交易委员会(SEC)的文件中尽力淡化最近出现的安全漏洞。
SolarWinds周日披露,一个黑客组织侵入了该公司的网络,并在Orion平台的更新中插入恶意软件。Orion平台是一款用于进行IT资产管理和网络健康的软件。
SolarWinds在一份安全报告中表示,在2020年3月至2020年6月期间发布的Orion应用版本2019.4至2020.2.1被恶意软件污染。
被木马化的Orion更新允许黑客在SolarWinds客户的网络上部署额外的、高度隐形的恶意软件。
30万客户中只有1.8万受到影响
虽然最初周日新闻报道暗示SolarWinds的客户影响, 在今天的SEC文件提交中, SolarWinds说30万客户只有33000人使用Orion这款IT资产管理和网络监控软件,其中不到18000个客户据信已经安装了被入侵的更新。
该公司说,它在周日通知了所有3.3万名Orion用户,即使他们没有安装木马化的Orion更新,并提供了他们可能采取缓解入侵的解决方案。
在周日发布的一份安全咨询报告和今天提交给SEC的文件中,SolarWinds表示,它计划在周二发布Orion更新,其中包含代码,可以清除客户系统中恶意软件的任何痕迹。
如果客户不能等到周二, 微软、FireEye、和美国网络安全基础设施机构(CISA)周日也发表技术报告和说明如何识别的入侵痕迹,如果黑客实施内部网络攻击,如何采取应对措施。
SolarWinds办公室365电子邮件帐户也被泄露
虽然黑客如何通过被污染的Orion恶意软件从SolarWinds转移到客户网络的细节已经曝光,但SolarWinds尚未透露黑客如何侵入自己的网络。
尽管如此,SolarWinds在同一份SEC文件中表示,它也从微软了解到其Office 365电子邮件和Office办公效率账户被盗用。
该公司表示,目前正在调查黑客是否利用进入电子邮件账户窃取用户数据。
SolarWinds公司并没有明确表示,这次邮件账户的泄露是否是导致黑客侵入了支持Orion应用更新机制的服务器基础设施的原因。
这是近年来最重要的黑客攻击之一
SolarWinds Orion平台黑客入侵为近年来最重要的黑客入侵之一。
目前,SolarWinds的安全漏洞被认为与美国安全公司FireEye、美国财政部以及美国商务部下属的国家电信和信息管理局(NTIA)的黑客攻击有关。
这次黑客攻击预计会更加糟糕。据《福布斯》报道,SolarWinds是美国政府的主要承包商,其定期客户包括CISA、美国网络司令部、国防部、联邦调查局、国土安全部、退伍军人事务部等许多机构。
此外,作为自身安全漏洞的一部分,FireEye正在对该事件进行调查。该公司表示,攻击者还侵入了世界各地的目标,而不仅仅是美国,包括多个垂直行业的政府和私营企业。
路透社援引业内消息人士的话说,尽管Orion平台拥有广泛的安装基础,但攻击者似乎只专注于少数高价值目标客户,大多数Orion用户未受影响。
几名IT管理员今天报告说,他们在他们的系统上发现了恶意软件Orion更新的迹象,但他们没有发现第二阶段有效载荷的迹象,这通常被入侵者用来升级访问其他系统和内部客户网络。
SolarWinds今天在SEC文件中表示,在2020年前三个季度,Orion产品线的收入约为3.43亿美元,约占公司总收入的45%。
如果用户最终放弃该应用程序,安全漏洞的后果也将对SolarWinds的营收产生重大影响。