XiaoMi-AI文件搜索系统
World File Search SystemSolarwinds
SolarWinds Orion 平台漏洞
• 后门 - 后门是一种典型的绕过正常身份验证来访问系统或应用程序的隐蔽方法。 • SolarWinds Orion - 一种网络和应用程序基础设施监控工具,用于识别、警告和报告设备、应用程序和网络性能问题。 • 供应链攻击 - 威胁行为者将恶意代码插入合法软件的组件中,软件公司在不知情的情况下将受感染的代码分发给软件用户。
SolarWinds 及相关供应链入侵
执行摘要 这份白皮书由联邦能源管理委员会 (FERC) 工作人员和 E- ISAC 联合编写,强调电力行业需要持续警惕与供应链入侵和事件相关的事件,并建议采取具体的网络安全缓解措施,以更好地确保大容量电力系统 (BPS) 的安全。虽然主要关注与 SolarWinds Orion 平台和相关的 Microsoft 365/Azure Cloud 入侵相关的持续网络事件,但它也解决了 Pulse Connect Secure 等产品中的相关入侵问题。另外两个入侵示例是 Microsoft 的内部部署 Exchange 服务器和 F5 的 BIG-IP,我们将讨论这两个入侵示例,以说明对手对无处不在的软件系统的持续兴趣和利用。由于 SolarWinds 的广泛使用和所使用的对抗策略,即使是未在其网络上安装 SolarWinds 的实体也可能受到影响。例如,在没有 SolarWinds 的网络上发现了入侵指标 (IOC)。此外,尽管实体可能没有使用 SolarWinds,但他们的主要供应商可能会使用该产品。如果供应商受到攻击,供应商反过来可能会危害其客户,包括那些没有 SolarWinds 的客户。事实上,有证据表明科技公司因此成为攻击目标。2020 年 12 月 13 日,网络安全解决方案和取证公司 FireEye Inc. 公开发布了有关对 SolarWinds Orion 开发的某些软件进行攻击的详细信息。对于受害者来说,这次攻击尤其具有破坏性,因为为了正常运行,SolarWinds 必须对其管理的网络(包括实体的企业网络和运营网络)拥有广泛和特权的访问权限。此次入侵为对手提供了监控网络流量和破坏系统的机会,这可能会导致其运营中断。为强调事件的严重性,2020 年 12 月 13 日,美国国土安全部 (DHS) 网络安全和基础设施安全局 (CISA) 发布了紧急指令 21-01,要求联邦机构根据国土安全部的评估采取行动,即 SolarWinds 攻击的成功入侵将产生“严重”后果。2020 年 12 月 15 日,白宫国家安全委员会 (NSC) 成立了一个由多个联邦机构组成的网络统一协调小组 (UCG),以协调对“重大”网络事件的调查和补救。2020 年 12 月 17 日,CISA 发布了针对私营部门的警报 AA20-352A,其中描述了针对行业的攻击、受影响的产品和缓解建议。为了应对此次入侵,SolarWinds 发布了其软件的新版本,该版本消除了受感染的代码并解决了其他漏洞。至少,建议受感染软件的用户使用更新后的版本更新其 SolarWinds 软件。然而,CISA 警告称,即使是更新后的 SolarWinds 版本也可能存在一定风险,并解释说“……攻击者很可能能够识别 SolarWinds Orion 代码中任何潜在的……漏洞,这些漏洞与插入的恶意代码无关,因此可能在被删除后仍能幸存下来。” 1 考虑到 SolarWinds 攻击的复杂性、广度和持久性,建议电力行业利益相关者充分考虑可用的诊断和缓解措施,以有效解决软件入侵问题。同样,实体考虑这两个 CISA 警报的建议也很有价值。虽然 CISA 紧急指令 21-01 是针对联邦机构的,但私营部门实体也可以从文件中规定的具体缓解措施中受益,
确保数字基础架构与下一次太阳能攻击
忽略Solarwinds自己的网络被妥协的时间段,在第一个客户网络妥协和发现Solarwinds恶意软件之间经过了近9个月。在那个时候,公开发布的数据表明,太阳能袭击导致大约18,000个组织渗透,包括美国政府机构和备受瞩目的财富500家公司。至关重要的是,看来黑客在发现他们实现了目标之前的几个月决定,为了隐藏他们的轨道,悄悄地从Solarwinds网络中悄悄地删除了后门,该网络被用来释放客户针对客户的Sunburst恶意软件。这就提出了问题:如果遗留恶意软件,妥协的范围会增长多少?我们如何确定所有次要恶意软件都被检测到并减轻了?
GAO-22-104746,网络安全:联邦政府对 SolarWinds 和 Microsoft Exchange 事件的响应
虽然对 SolarWinds 漏洞的响应和调查仍在进行中,但微软在 2021 年 3 月报告了利用漏洞或滥用漏洞来访问多个版本的 Microsoft Exchange Server。其中包括联邦机构在其场所托管和使用的版本。根据白宫的一份声明,基于高度可信度,隶属于中华人民共和国国家安全部的恶意网络行为者利用这些 Microsoft Exchange 漏洞开展了行动。这些漏洞最初允许威胁行为者从未经授权的外部来源与 Microsoft Exchange Server 建立经过身份验证的连接。一旦威胁行为者建立连接,行为者便可以利用其他漏洞来提升帐户权限并安装 Web shell,从而使行为者能够远程访问 Microsoft Exchange Server。这反过来又允许即使在修补漏洞后仍能持续进行恶意操作(见图 2)。
银行黑客攻击及应对措施 - Acta Scientific
18. L Sterle 和 S Bhunia。“论 SolarWinds Orion 平台安全漏洞”。2021 年 IEEE SmartWorld、无处不在的智能计算、高级可信计算、可扩展计算通信、人联网和智慧城市创新 (SmartWorld/SCALCOM/UIC/ATC/IOP/SCI),(2021):636-641。
银行黑客攻击及应对措施 - Acta Scientific
18. L Sterle 和 S Bhunia。“论 SolarWinds Orion 平台安全漏洞”。2021 年 IEEE SmartWorld、无处不在的智能计算、高级可信计算、可扩展计算通信、人联网和智慧城市创新 (SmartWorld/SCALCOM/UIC/ATC/IOP/SCI),(2021):636-641。
银行黑客攻击及应对措施 - Acta Scientific
18. L Sterle 和 S Bhunia。“论 SolarWinds Orion 平台安全漏洞”。2021 年 IEEE SmartWorld、无处不在的智能计算、高级可信计算、可扩展计算通信、人联网和智慧城市创新 (SmartWorld/SCALCOM/UIC/ATC/IOP/SCI),(2021):636-641。
银行黑客攻击及应对措施 - Acta Scientific
18. L Sterle 和 S Bhunia。“论 SolarWinds Orion 平台安全漏洞”。2021 年 IEEE SmartWorld、无处不在的智能计算、高级可信计算、可扩展计算通信、人联网和智慧城市创新 (SmartWorld/SCALCOM/UIC/ATC/IOP/SCI),(2021):636-641。
银行黑客攻击及应对措施 - Acta Scientific
18. L Sterle 和 S Bhunia。“论 SolarWinds Orion 平台安全漏洞”。2021 年 IEEE SmartWorld、无处不在的智能计算、高级可信计算、可扩展计算通信、人联网和智慧城市创新 (SmartWorld/SCALCOM/UIC/ATC/IOP/SCI),(2021):636-641。
2022 年网络安全 - 内部审计师协会
1 .IIA,2022 年北美内部审计脉搏,2022 年 3 月,https://www.theiia.org/en/content/research/pulse-of-internal-audit/2022/2022-north-american-pulse-of-internal-audit/ 2 .SonicWall,2022 年 SonicWall 网络威胁报告,2022 年,https://www.sonicwall.com/2022-cyber-threat-report/ .3 .Steve Morgan,“2022 年网络安全年鉴:100 个事实、数据、预测和统计数据”,网络安全风险投资公司,思科,2022 年 1 月 19 日,https://cybersecurityventures.com/cybersecurity-almanac-2022/ 。4 。Joe Hernandez,微软称 SolarWinds 攻击背后的俄罗斯黑客组织又来了”,NPR,2021 年 10 月 25 日更新,https://www.npr.org/2021/10/25/1048982477/russian-hacker-solarwinds-attack-microsoft 。5 。5 。Isabella Jibilian 和 Katie Canales,“美国正准备因 SolarWinds 网络攻击对俄罗斯实施制裁。以下是对大规模黑客攻击如何发生以及为什么它如此重要的原因的简单解释”,Business Insider,2021 年 4 月 15 日更新,https://www.businessinsider.com/solarwinds-hack-explained-government-agencies-cyber-security-2020-12 。6 。Andrew Marquardt,“拜登警告俄罗斯网络攻击,先例是什么?“去年一条主要输油管道遭黑客攻击,发生了什么?”《财富》,2022 年 3 月 22 日,https://fortune.com/2022/03/22/biden-warns-russian-cyber-attack-pipeline/。