美國國土安全部通令,所有政府單位應立即停用遭駭之 SolarWinds Orion 產品.png

美國國土安全部資安中心日前發布通令,要求美國政府旗下所有單位,立即停用所有 SolarWinds Orion 產品,以避免發生更大規模透過該產品漏洞進行的駭侵攻擊。

美國國土安全部資安中心日前發布 21-01 號通令,要求美國政府旗下所有單位,立即停用所有使用中的 SolarWinds Orion IT 監管平台產品,以避免發生更大規模透過該產品漏洞進行的駭侵攻擊。

上周美國商務部與財政部驚傳遭到特定國家支持的駭侵攻擊事件,事件原因與其採用的 SolarWinds Orion Platform 遭到 APT 駭侵團體 Cozy Bear 滲透有關;APT 駭侵團體 Cozy Bear 於今年三月間在 SolarWinds Orion 的更新程式中植入木馬,取得遠端控制受駭系統的能力。

採用 SolarWinds Orion IT 管理平台的客戶,據估計有一萬八千個左右;而在經過調查之後發現,美國國土安全部本身的系統也遭到入侵;國土安全部旋即在 12 月 13 日發布通令,要求所有使用 SolarWinds Orion 系統的美國各級政府機構旗下的非軍事性質單位,應立即將所有執行 SolarWinds Orion 的電腦離線,甚至關閉其電源,以避免遭駭規模進一步擴大。

但資安專家指出,Cozy Bear 於三月起就成功於 SolarWinds Orion 中植入木馬,至今超過半年以上,很可能早已駭入並掌握重要機構的 SAML 或 Active Directory 主機,因此即使將執行 SolarWinds Orion 的主機斷網隔離,也無法有效防止駭侵者注入的其他惡意軟體在內網中傳散。

  • 參考連結

https://cyber.dhs.gov/ed/21-01/

https://www.cisa.gov/news/2020/12/13/cisa-issues-emergency-directive-mitigate-compromise-solarwinds-orion-network

https://www.lawfareblog.com/solarwinds-breach-why-your-work-computers-are-down-today

arrow
arrow
    文章標籤
    TWCERTCC TWCERT 台灣電腦網路危機處理暨協調中心 美國 政府 停用 SolarWinds Orion 產品 資安漏洞 Cozy Bear
    全站熱搜

    twcert 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄