全球最大安全軟體公司之一
FireEye 12月8日公布,近日遭到疑似國家支持的駭客攻擊,造成該公司提供安全測試的
紅隊工具外洩。該公司表示,他們已於GitHub提供相關的
入侵指標(IoC)、
Snort與
Yara特徵碼等資訊,並強調他們提供的工具都是利用
已知漏洞。
⚠ 新聞內容分析
(一)國際資安大廠陸續中招,企業機構應盤點數位資產,加強更新
目前調查顯示應是SolarWinds在春季開始的例行更新遭駭客中間人攻擊,被植入惡意軟體,進而利用SolarWinds的市場滲透率攻擊相關機構的網路設備與竊取資料。因此建議公司機構盡可能限制供應商的資料數據存取權限,並為第三方供應商可能存在的違規行為做好心理準備或資料備份。
(二)企業對於系統已知漏洞要即時更新解決
針對FireEye這次遭外洩的紅隊演練工具,思科列出了當中利用的16個漏洞CVE編號與Snort特徵碼,呼籲企業進行更新防範。其中這些漏洞分佈在Windows作業系統、網路安全設備、電子郵件系統、協作平臺、身分驗證管理系統及IT管理工具等。會發生的原因很可能和許多企業尚未即時修補漏洞有關。例如,今年4月資安業者Rapid7發現,微軟在2月修補的CVE-2020-0688漏洞,仍有35萬臺Exchange伺服器未修補。同樣在去年已經發佈更新的CVE-2018-13379 SSL VPN漏洞,在今年11月下旬,仍有駭客在論壇張貼近5萬個未修補漏洞的Fortinet SSL VPN設備名單。這也代表著企業面對這種重大漏洞,應該需要採取更為快速的策略,以避免在尚未修補的空窗期成為駭客下手攻擊的對象。
⚠ 企業因應作為建議
(一)檢視公司是否有使用SolarWinds相關上下游解決方案
檢視企業轄屬主機、伺服器、網通裝置是否使用SolarWind相關網路管理、系統管理、資安監管、資料庫管理、應用程式管理與服務託管等服務,包含相關服務模組。
(二)若有使用需先進行日誌清查,掌握漏洞是否已被利用,並進行修復排除
根據盤點結果如有使用上述系統模組時,若判定為高重要性時可視為資安事件處理,應立即聯繫轄屬廠商以及進行資安事件通報,並視事件影響範圍關閉相關服務,處理原則應先保存設備與系統完整性(包含系統狀態、資料庫、日誌)。
(三)聯絡原廠或代理商進行漏洞修補與更新
目前SolarWind原廠已中止含有漏洞版本之軟體下載,並提供SolarWind Orion Platform 2020.2.1 HF2 之更新版本協助用戶進行更新。若無法更新者,企業可聯絡原廠或代理商進行漏洞修補與更新,建議後續導入Secuirty OTA (安全線上更新) 機制,以滾動式調整完備資安事件因應作為。
(四)訂閲公司重要軟體資產相關弱點情資,持續追蹤管理
確實盤點相關軟體安裝,或透過訂閲安全管理工具以持續盤點公司軟體資產之相關弱點情資,於相關重要漏洞遭揭露時第一時間收到相關情資,儘速施行相關災損控制與修補更新作業。