• 發布單位:TWCERT/CC
• 更新日期:2020-12-18
• 點閱次數:1813

美國國土安全部資安中心日前發布通令，要求美國政府旗下所有單位，立即停用所有 SolarWinds Orion 產品，以避免發生更大規模透過該產品漏洞進行的駭侵攻擊。

美國國土安全部資安中心日前發布 21-01 號通令，要求美國政府旗下所有單位，立即停用所有使用中的 SolarWinds Orion IT 監管平台產品，以避免發生更大規模透過該產品漏洞進行的駭侵攻擊。

上周美國商務部與財政部驚傳遭到特定國家支持的駭侵攻擊事件，事件原因與其採用的 SolarWinds Orion Platform 遭到 APT 駭侵團體 Cozy Bear 滲透有關；APT 駭侵團體 Cozy Bear 於今年三月間在 SolarWinds Orion 的更新程式中植入木馬，取得遠端控制受駭系統的能力。

採用 SolarWinds Orion IT 管理平台的客戶，據估計有一萬八千個左右；而在經過調查之後發現，美國國土安全部本身的系統也遭到入侵；國土安全部旋即在 12 月 13 日發布通令，要求所有使用 SolarWinds Orion 系統的美國各級政府機構旗下的非軍事性質單位，應立即將所有執行 SolarWinds Orion 的電腦離線，甚至關閉其電源，以避免遭駭規模進一步擴大。

但資安專家指出，Cozy Bear 於三月起就成功於 SolarWinds Orion 中植入木馬，至今超過半年以上，很可能早已駭入並掌握重要機構的 SAML 或 Active Directory 主機，因此即使將執行 SolarWinds Orion 的主機斷網隔離，也無法有效防止駭侵者注入的其他惡意軟體在內網中傳散。