報(bào)告編號：B6-2020-121403

報(bào)告來源：360CERT

報(bào)告作者：360CERT

更新日期：2020-12-14

0x01 漏洞簡述

2020年12月14日，360CERT監(jiān)測發(fā)現(xiàn) FireEye 發(fā)布了 SolarWinds 供應(yīng)鏈攻擊通告 的分析報(bào)告，事件等級：嚴(yán)重 ，事件評分：10 。

SolarWInds的產(chǎn)品中存在長達(dá)1年的供應(yīng)鏈攻擊，其產(chǎn)品中被植入多個(gè)后門。

后門程序于2020年3月已經(jīng)被SolarWInds官方應(yīng)用程序引入，使用SolarWinds的用戶需要立即安裝更新修復(fù)

對此，360CERT建議廣大用戶好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

0x02 風(fēng)險(xiǎn)等級

360CERT對該漏洞的評定結(jié)果如下

評定方式等級

威脅等級	嚴(yán)重
影響面	廣泛
360CERT評分	10

0x03 事件詳情

SolarWinds Inc.是一家美國公司，為企業(yè)提軟件以幫助管理其網(wǎng)絡(luò)，系統(tǒng)和信息技術(shù)基礎(chǔ)架構(gòu)。根據(jù)其官網(wǎng)簡介，SolarWinds的客戶包括了”財(cái)富美國500強(qiáng)“（Fortune 500）企業(yè)、美國所有前十大電信業(yè)者、美軍所有五大部隊(duì)、美國國務(wù)院、國家安全局，以及美國總統(tǒng)辦公室等。

根據(jù)SolarWinds官方發(fā)布安全公告，SolarWinds Orion平臺(tái)軟件在2020年3月至6月之間發(fā)布的2019.4 - 2020.2.1版本都受到了供應(yīng)鏈攻擊的影響，這些版本的安裝包內(nèi)存在惡意的后門應(yīng)用程序。

這些安裝程序通過 SolarWinds 的數(shù)字證書繞過了檢查。安裝更新后會(huì)釋放一個(gè) SolarWinds.Orion.Core.BusinessLayer.dll 文件，該文件被Orion平臺(tái)通過 SolarWinds.BusinessLayerHostx[64].exe 當(dāng)作額外的插件進(jìn)行加載。

該后門在經(jīng)過長達(dá)兩個(gè)星期的休眠期后，會(huì)根據(jù)C2返回的指令進(jìn)行活動(dòng)。（包括傳輸文件，執(zhí)行文件，對系統(tǒng)進(jìn)行配置文件，重新引導(dǎo)計(jì)算機(jī)以及禁用系統(tǒng)服務(wù)）

同時(shí)該惡意程序的所有網(wǎng)絡(luò)通信都會(huì)偽裝成 Orion Improvement Program （OIP）協(xié)議的網(wǎng)絡(luò)流量，并將通信返回結(jié)果存儲(chǔ)在合法的插件配置文件中，從而使其能夠無縫的與SolarWinds自身活動(dòng)融合。進(jìn)而達(dá)到隱蔽的目的。

相關(guān)文件：

- CORE-2019.4.5220.20574-SolarWinds-Core-v2019.4.5220-Hotfix5.msp （02af7cec58b9a5da1c542b5a32151ba1）

SolarWinds升級程序中也包含了該后門應(yīng)用程序，系統(tǒng)管理員若在 2020年3月-6月期間安裝過更新，受到該次攻擊影響。

0x04 修復(fù)建議

通用修補(bǔ)建議

升級到 2020.2.1 HF 1

并于 2020年12月15日升級到 2020.2.1 HF2

SolarWinds 為商業(yè)軟件請聯(lián)系 swisupport#solarwinds.com 獲取支持

0x05 解決方案

360 安全大腦

目前360安全大腦、360情報(bào)云等360政企全線安全產(chǎn)品可以檢測和防御SolarWinds軟件供應(yīng)鏈攻擊。

360安全大腦已提供 SolarWinds供應(yīng)鏈后門專殺工具 ，請聯(lián)系 ata#360.cn 獲取。

0x06 時(shí)間線

2020-12-13 FireEye公開SUNBURST攻擊細(xì)節(jié)2020-12-14 360CERT發(fā)布通告

0x07 參考鏈接

1、 FireEye-SolarWinds供應(yīng)鏈攻擊報(bào)告

https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

0x08 特制報(bào)告下載鏈接

一直以來，360CERT對全球重要網(wǎng)絡(luò)安全事件進(jìn)行快速通報(bào)、應(yīng)急響應(yīng)。為更好地為政企用戶提供最新漏洞以及信息安全事件的安全通告服務(wù)，現(xiàn)360CERT正式推出安全通告特制版報(bào)告，以便用戶做資料留存、傳閱研究與查詢驗(yàn)證。用戶可直接通過以下鏈接進(jìn)行特制報(bào)告的下載。

SolarWinds 供應(yīng)鏈攻擊通告

http://pub-shbt.s3.360.cn/cert-public-file/【360CERT】SolarWinds_供應(yīng)鏈攻擊通告.pdf

若有訂閱意向與定制需求請掃描下方二維碼進(jìn)行信息填寫，或發(fā)送郵件至g-cert-report#360.cn ，并附上您的 公司名、姓名、手機(jī)號、地區(qū)、郵箱地址。

轉(zhuǎn)載自https://mp.weixin.qq.com/s/xTid2ZyEEQcFmi3XQAAZnw

總結(jié)

以上是生活随笔為你收集整理的SolarWinds 供应链攻击通告的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。