Последние новости о кибератаке SolarWinds: «Серьезный удар»

Когда несколько дней назад появилась новость о том, что компания по управлению ИТ SolarWinds была скомпрометирована в результате кибератаки на цепочку поставок, мы обнаружили, что злоумышленники получили доступ как к Министерству финансов США, так и к Министерству торговли.

Теперь мы знаем, что это было только начало. Вот и идут обновления.

Директива CISA по аварийному отключению продуктов SolarWinds Orion

Агентство по кибербезопасности и безопасности инфраструктуры (CISA) быстро отключило правительственные серверы от обновлений SolarWinds.

На этом этапе все правительственные агентства должны были прекратить получать обновления продукта SolarWinds Orion, а для тех федеральных агентств, у которых нет опыта, чтобы остановить эти обновления, CISA приказывает им отключить:

«Затронутые агентства должны немедленно отключить или отключить продукты SolarWinds Orion версий с 2019.4 по 2020.2.1 HF1 от своей сети. До тех пор, пока CISA не даст указание затронутым организациям перестроить операционную систему Windows и переустановить программный пакет SolarWinds, агентствам запрещено (повторное) присоединение ОС Windows хоста к корпоративному домену.

Затронутым организациям следует ожидать дальнейших сообщений от CISA и дождаться указаний перед восстановлением из надежных источников с использованием последней доступной версии продукта. Дополнительно:

а. Блокируйте весь трафик к и от хостов, внешних по отношению к предприятию, на которых установлена ​​любая версия программного обеспечения SolarWinds Orion.

б. Выявить и удалить все учетные записи, контролируемые злоумышленниками, и выявленные механизмы сохранения “.

CISA оказывает серьезное влияние на правительство США

Компания CISA определила, что такое использование продуктов SolarWinds представляет собой неприемлемый риск для федеральных органов исполнительной власти и требует принятия экстренных мер. Это определение основано на:

  • Текущее использование уязвимых продуктов и их широкое использование для мониторинга трафика в основных федеральных сетевых системах;
  • Высокий потенциал компрометации информационных систем агентства;
  • Серьезное влияние успешного компромисса.

Министерство внутренней безопасности заявляет, что пострадало несколько агентств

И теперь у нас есть больше подтверждения от Министерства внутренней безопасности США (DHS) о серьезности этой атаки. Похоже, первые два агентства, о которых мы знаем, были взломаны, были только началом.

Заместитель секретаря DHS по связям с общественностью Алексей Вольторнист кратко прокомментировал:

“Министерство внутренней безопасности осведомлено о кибер-нарушениях в федеральном правительстве и тесно сотрудничает с нашими партнерами в государственном и частном секторах над федеральным ответом. В качестве федерального лидера по кибер-нарушениям гражданских федеральных агентств Отдел кибербезопасности Министерства внутренней безопасности Агентство по безопасности инфраструктуры (CISA) уже выпустило для федерального правительства Директиву 21-01 о чрезвычайных ситуациях для решения проблем, связанных с SolarWinds ».

Обновления SolarWinds об атаке на цепочку поставок

SolarWinds тоже обновляет вещи со своей стороны.

«Известные затронутые продукты: версии платформы Orion 2019.4 HF 5 и 2020.2 без исправления или с 2020.2 HF 1, включая:

Application Centric Monitor (ACM)
Модуль интеграции анализатора производительности базы данных (DPAIM)
Консоль управления предприятием (EOC)
Высокая доступность (HA)
Диспетчер IP-адресов (IPAM)
Анализатор журналов (LA)
Network Automation Manager (NAM)
Диспетчер конфигурации сети (NCM)
Сетевые операции Manager (NOM)
Network Performance Monitor (NPM)
NetFlow Traffic Analyzer (NTA)
Server & Application Monitor (SAM)
Server Configuration Monitor (SCM)
Storage Resource Monitor (SRM)
User Device Tracker (UDT)
Virtualization Manager (VMAN)
VoIP & Network Quality Менеджер (VNQM)
Веб-монитор производительности (WPM)

А по состоянию на 15 декабря 2020г. компания завершила дополнительные следственные работы:

«Мы просканировали код всех наших программных продуктов на наличие маркеров, аналогичных тем, которые использовались при атаке на продукты нашей платформы Orion, указанные выше, и мы не обнаружили никаких доказательств того, что другие версии наших продуктов Orion Platform или другие наши продукты содержат эти маркеры. Таким образом, мы не знаем, что другие версии продуктов платформы Orion были затронуты этой уязвимостью безопасности. Другие продукты, не относящиеся к платформе Orion, также не известны нам как подверженные этой уязвимости безопасности ».

Автор:Брюс Сассман

Обсудить и заказать можно через форму ниже
Создание недорогих сайтов
Добавить комментарий