美国国土安全部发布紧急指令，要联邦机构立即关闭被植入木马的SolarWinds系统

在日前传出美国财政部与商务部遭到国家支持的骇客攻击，且与这些机构所使用的IT监管平台SolarWinds Orion有关之后，美国国土安全部旗下的网络安全暨基础架构安全署（CISA）在周日（12/13）发布了紧急指令，要求所有的联邦机构应该检查它们的网站，并立即关闭或断开所使用的SolarWinds Orion产品。

CISA代理主任Brandon Wales指出，被危害的SolarWinds Orion网络管理产品对联邦网络带来了无法承受的安全风险，此一紧急指令是为了减轻可能的威胁，同时督促不管是公、私领域的部门，都应该审慎评估自己是否曝露在风险之中。

SolarWinds为美国专门研发系统/网络/基础设施管理软件的业者，全球客户数为30万家，包括众多的美国联邦机构在内。SolarWinds坦承，从今年3月到6月间释出的SolarWinds Orion Platform 2019.4 HF 5至2020.2.1版本遭到骇客攻击，另也在本周一（12/14）提交给证券交易委员会（SEC）的文件中说明，安装含漏洞Orion Platform版本的客户数接近1.8万家。

骇客借由SolarWinds Orion的安全漏洞渗透到客户的内部网络，并藏匿于受害者的系统上长达数月之久。

资安业者FireEye与微软都积极地对此一攻击行动展开调查，发现骇客于SolarWinds Orion平台上植入了木马程式。

目前仅确定骇客是在合法的SolarWinds函式库中嵌入了恶意的SolarWinds.Orion.Core.BusinessLayer.dll木马程式，该程式可透过HTTP与第三方服务器交流，而且是经SolarWinds签章的元件。

Microsoft 安全回应中心（MSRC）指出，他们目前并不知道该木马程式是如何进驻SolarWinds函式库的，也许是危害了SolarWinds的内部版本或散布系统，使得此一木马程式得以随着自动化更新进入受害者网络。

一旦进入受害者网络，骇客就会利用危害本地端时所取得的管理权限，试图进一步取得组织的全球管理账号或可靠的SAML权杖，将允许骇客于受害组织中的应用程序或服务建立自己的凭证。

虽然SolarWinds已释出了修补的Orion Platform 2020.2.1 HF 1，亦即将于12月15日释出强化安全机制的Orion Platform 2020.2.1 HF 2，但CISA还是要求美国联邦机构立即关闭Orion产品，而FireEye则建议，若无法隔离SolarWinds基础设施，那么应该要限制SolarWinds服务器与端点的连结，限制于SolarWinds服务器上的管理账号权限，封锁采用SolarWinds软件的服务器或端点的网络出口，也应考虑更新账号凭证。

另一方面，在分析骇客攻击手法的当下，FireEye并未证实自己是否也是此波攻击的受害者之一。