https://twcert2024.informationsecurity.com.tw/

新聞

美國國土安全部通令,所有政府單位應立即停用遭駭之 SolarWinds Orion 產品

2020 / 12 / 21
編輯部
美國國土安全部通令,所有政府單位應立即停用遭駭之 SolarWinds Orion 產品
美國國土安全部資安中心日前發布 21-01 號通令,要求美國政府旗下所有單位,立即停用所有使用中的 SolarWinds Orion IT 監管平台產品,以避免發生更大規模透過該產品漏洞進行的駭侵攻擊。

上周美國商務部與財政部驚傳遭到特定國家支持的駭侵攻擊事件,事件原因與其採用的 SolarWinds Orion Platform 遭到 APT 駭侵團體 Cozy Bear 滲透有關;APT 駭侵團體 Cozy Bear 於今年三月間在 SolarWinds Orion 的更新程式中植入木馬,取得遠端控制受駭系統的能力。

採用 SolarWinds Orion IT 管理平台的客戶,據估計有一萬八千個左右;而在經過調查之後發現,美國國土安全部本身的系統也遭到入侵;國土安全部旋即在 12 月 13 日發布通令,要求所有使用 SolarWinds Orion 系統的美國各級政府機構旗下的非軍事性質單位,應立即將所有執行 SolarWinds Orion 的電腦離線,甚至關閉其電源,以避免遭駭規模進一步擴大。

但資安專家指出,Cozy Bear 於三月起就成功於 SolarWinds Orion 中植入木馬,至今超過半年以上,很可能早已駭入並掌握重要機構的 SAML 或 Active Directory 主機,因此即使將執行 SolarWinds Orion 的主機斷網隔離,也無法有效防止駭侵者注入的其他惡意軟體在內網中傳散。



本文轉載自TWCERT/CC。