近期美國政府機構遭遇供應鏈攻擊,可能成為該國史上最大的國家級資安威脅,這場風暴的核心是一家網路監控軟體公司SolarWinds,有駭客組織藉由入侵該公司SolarWinds Orion平臺產品,進而攻擊他們鎖定的目標企業及組織。由於使用該產品的用戶遍及全球,特別是包含美國數個重要政府機構及大型企業,並已有美國財政部與商務部證實遇害,甚至美國國土安全部旗下CISA發布緊急指令21-01,要求所有聯邦機構關閉這款產品,而最早揭露該軟體平臺存在SunBurst後門的美國資安公司FireEye,也在幾天前就宣布他們的紅隊演練測試工具外流

臺灣有SolarWinds Orion產品的用戶嗎?若是有的話,這次事件就可能也為臺灣帶來衝擊。以公部門而言,我們從近年的供同供應契約當中,可以發現,當中就有SolarWinds的產品在政府採購清單之列,因此依照這樣的推論,臺灣政府機關就可能會有部分單位受影響,針對這樣的狀況,我們也聯繫行政院資安處處長簡宏偉,他表示,根據他們之前的初步調查,有採購該品牌產品的機關單位,均非使用受影響的產品。同時,他也再次強調資安的防護持續的精進,以及需要持續關注供應鏈的攻擊趨勢。

另外,對於是否會進一步暫停公部門採用該產品,簡宏偉表示,不會要求公部門停止使用,但會提醒機關注意。

針對SolarWinds Orion這次事件的影響,我們其實也看到,在行政院國家資通安全會報技術服務中心的官方網站,已於12月17日公布相關漏洞預警,說明這次產品弱點的影響與範圍,並提供因應上的建議。

目前已知影響平臺包括:SolarWinds Orion Platform 2019.4 HF 5、SolarWinds Orion Platform 2020.2與SolarWinds Orion Platform 2020.2 HF 1。而目前SolarWinds官方已經釋出了修補更新程式,因此,政府單位建議用戶應聯絡設備廠商確認版本,並前往SolarWinds官方公告網頁下載最新版本。對於無法即時完成修補更新的用戶,他們則是建議,可將FireEye於GitHub上所公開的Snort、Yara、ClamAV或HXIOC規則,增加到資安防護設備中,用以偵測或封鎖相關攻擊。

除了公部門之外,國內企業使用的狀況如何?我們後續又再詢問SolarWinds臺灣代理商以瞭解現況。從目前得到的資訊來看,臺灣的確是有一些用戶,但他們認為影響不大,舉例來說,身為SolarWinds代理商之一的新加坡商安穩特臺灣分公司提供他們的觀察,他們表示,有部分客戶的Orion管理主機,其實並未對外連網,或是已設置流量只出不進的安全政策,因此,直接受攻擊的機會並不是那麼大。

不過,在事件爆出後的這段期間,他們也確實收到不少的詢問與支援請求,目前大部分的客戶都已經修補安全漏洞,或是正在著手進行修補。

最後更要提醒的是,在這次供應鏈攻擊的風暴之下,除了清查駭客對SolarWinds系統危害,美國CISA其實已經發出警告,SolarWinds並非此波攻擊唯一切入點,他們也正調查還有哪些管道被駭客利用滲透。因此,接下來我們可能要持續關注IT廠商或資安廠商所揭露的更多細節,因為這樣的態勢的供應鏈攻擊,可能會演變成好幾波不同的風暴。

熱門新聞


Advertisement