SolarWinds發布官方通知,證實另一木馬程式Supernova的存在

SolarWinds除了證實Supernova的存在,也已釋出可防範Supernova及Sunburst木馬程式攻擊的Orion Platform 2019.4 HF6與Orion Platform 2020.2.1 HF2

就在資安業者相繼指出SolarWinds的Orion Platform平臺除了被植入Sunburst木馬程式以外,也出現了另一個名為Supernova的木馬程式之後,SolarWinds在27日發布了官方的安全通知,證實Supernova的存在。

根據資安業者Palo Alto Networks的分析,Supernova為app_web_logoimagehandler.ashx.b6031896.dll的木馬版,此一DLL檔案原本是SolarWinds私有的.NET函式庫,作為HTTP API使用,可回應Orion元件的查詢,但駭客在此一檔案中加入了4個新參數,再利用惡意的手法於Orion主機上執行它們。

SolarWinds則解釋,Supernova與Sunburst不同,它並非屬於供應鏈攻擊,而是置放在一個不需授權就可存取客戶網路的伺服器上,並偽裝成Supernova產品的一部分。 Supernova惡意程式由兩個元件所組成,其中之一為未經簽署、且專為Orion平臺撰寫的惡意DLL檔案,第二個則是利用Orion平臺漏洞來部署該惡意DLL檔案的開採程式。

由於Supernova與Sunburst的攻擊手法大不相同,Sunburst不但具備簽章,而且直接進駐了Orion平臺構建系統,屬於複雜的供應鏈攻擊,而Supernova屬於Webshel​​l攻擊,且不具簽章,使得資安業者推測Orion平臺可能同時遭到不同駭客集團的危害。對此,SolarWinds表示,此時該公司對Supernova與Sunburst之間是否有關並無定論,將繼續與執法機關及資安業者密切合作以確定答案。

此外,不管是資安業者或SolarWinds都判斷,這應是屬於外國駭客集團的攻擊行動,但SolarWinds說目前尚不確定攻擊來源。

值得提醒的是,SolarWinds已釋出可防範Supernova及Sunburst攻擊的Orion Platform 2019.4 HF6與Orion Platform 2020.2.1 HF2,若無法立即升級,亦可下載SolarWinds所提供的暫時修補程式。

向上滑動