在昨晚的新闻发布中,网络安全和基础设施安全局(CISA)发布了紧急指令21-01,以应对已知的涉及SolarWinds Orion产品的妥协,该产品目前被恶意行为者利用。
DHS指令是自2015年创建以来的第五个指令,表示美国机构应立即断开或关闭任何运行受影响的SolarWinds软件的机器。
信息系统代理总监布兰登·威尔士说:“ SolarWinds的Orion网络管理产品的妥协给联邦网络的安全带来了无法接受的风险。” “今晚的指令旨在减轻联邦民用网络内部的潜在妥协,我们敦促我们所有公共和私营部门的合作伙伴评估他们遭受这种妥协的风险,并确保其网络免受任何剥削。”
SolarWinds网站列出了使用其产品的一些公司和政府。名单上最令人不安的是美国陆军,美国空军,美国海军,美国海军陆战队,集成电路,国防部和英国国防部。
SolarWinds表示,其全球300,000客户包括美国军方,五角大楼,国务院,NASA,国家安全局,司法部和白宫的所有五个分支机构。它说,美国10家领先的电信公司和美国前5大会计师事务所也都在客户当中。
财政部和商务部黑客攻击的明显途径,而FireEye的妥协是SolarWinds。全球数以万计的组织(包括大多数《财富》杂志)也使用它,现在有500家公司正忙于修补其网络。
FireEye未透露任何具体目标,但在博客文章中表示,其对自身网络黑客行为的调查确定了针对政府和私营部门的“全球运动”,该运动从春季开始就将恶意软件植入了SolarWinds软件中更新。该公司和美国政府官员都没有说是否相信俄罗斯国家支持的黑客对此负责。
该恶意软件使黑客可以远程访问受害者的网络,Alperovitch说,SolarWinds授予了对网络的“上帝模式”访问权限,从而使一切可见。
FireEye威胁分析主管John Hultquist说:“当所有信息公开时,我们预计这将是一个非常大的事件。” “演员正在秘密行动,但我们当然仍在寻找他们设法行动的目标”
总部位于得克萨斯州奥斯汀的SolarWinds周日确认存在“潜在漏洞”,该漏洞与3月至6月间发布的针对Orion的软件产品的更新有关,该产品有助于监视网络中的问题。
SolarWinds首席执行官凯文·汤普森(Kevin Thompson)在一份声明中说:“我们认为此漏洞是某个民族国家高度复杂,有针对性的手动供应链攻击的结果。”他说,它正在与FBI,FireEye和情报界合作。
网络安全公司Rendition Infosec的总裁,前NSA黑客杰克·威廉姆斯(Jake Williams)说,FireEye一定会告诉FBI和其他联邦合作伙伴如何对其进行黑客攻击,他们确定美国财政部也受到了同样的危害。
威廉姆斯补充说:“我怀疑本周还有很多其他的(联邦)代理机构也会受到打击。”
