发布编号：TACERT-ANA-2021010702010303

发布时间：2021-01-07 14:18:04

事故类型：ANA-漏洞预警

发现时间：2021-01-07 14:18:04

影响等级：中

 

[主旨说明:]

【漏洞预警】【更新影响平台与建议措施】SolarWinds Orion Platform部分版本存在后门程式，允许攻击者远端执行任意程式码，请尽速确认并进行版本更新

 

[内容说明:]

转发 行政院国家资通安全会报技术服务中心 资安讯息警讯 NCCST-ANA-2020-0135

Orion Platform为SolarWinds所推出之整合式网络管理工具，具备功能模组化与扩展性特色，FireEye研究人员发现其部分版本存在后门程式，并借由更新机制进行散播，使得攻击者可远端操控系统并执行任意程式码，进而利用运行于SolarWinds Orion Platform上之相关功能模组进行内部扩散，加剧危害程度。

情资分享等级: WHITE(情资内容为可公开揭露之资讯)

 

[影响平台:]

1.SolarWinds Orion Platform 20194 HF 5 (版本号为version 2019.4.5200.9083)

2.SolarWinds Orion Platform 2020.2 RC1 (版本号为version 2020.2.100.12219)

3.SolarWinds Orion Platform 2020.2 RC2 (版本号为version 2020.2.5200.12394)

4.SolarWinds Orion Platform 2020.2 (版本号为version 2020.2.5300.12432)

5.SolarWinds Orion Platform 2020.2 HF 1 (版本号为version 2020.2.5300.12432)

 

[建议措施:]

1.根据美国国土安全部(DHS)在2020年12月30日所发布之紧急指令(21-02)补充指南，美国国家安全局(NSA)已确认SolarWinds Orion 2020.2.1 HF2版本并未含有恶意程式码。在此建议有使用SolarWinds Orion Platform产品之机关，参考此更新资讯，联络设备维护厂商进行版本确认，并采取下列措施：(1)若为上述受影响版本，请完整移除后重新安装SolarWinds Orion Platform 2020.2.1 HF 2版本。(2)若为其他非受影响版本，请更新至SolarWinds Orion Platform 2020.2.1 HF 2版本。

2.若未能即时完成修补或更新，建议可将FireEye所公开之Snort、Yara、ClamAV或HXIOC规则部署于资安防护设备中，用以侦测或封锁相关攻击。连结如下：https://github.com/FireEye/sunburst_countermeasures

 

[参考资料:]

1.https://cyber.dhs.gov/ed/21-01/#supplemental-guidance

 

2.https://www.solarwinds.com/securityadvisory

 

3.https://github.com/FireEye/sunburst_countermeasures

 

4.https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

 

5.https://www.ithome.com.tw/news/141651

 

6.https://www.ithome.com.tw/news/141666

 

7.https://www.ithome.com.tw/news/141971

 

 

---

(此通报仅在于告知相关资讯，并非为资安事件)，如果您对此通报的内容有疑问或有关于此事件的建议，欢迎与我们连络。

教育机构资安通报应变小组

网址：https://info.cert.tanet.edu.tw/

专线电话：07-5250211

网络电话：98400000

E-Mail：service@cert.tanet.edu.tw