報告編號：B6-2020-121403

報告來源：360CERT

報告作者：360CERT

更新日期：2020-12-14

0x01 漏洞簡述

2020年12月14日，360CERT監測發現 FireEye 發布了 SolarWinds 供應鏈攻擊通告 的分析報告，事件等級：嚴重 ，事件評分：10 。

SolarWInds的產品中存在長達1年的供應鏈攻擊，其產品中被植入多個后門。

后門程序于2020年3月已經被SolarWInds官方應用程序引入，使用SolarWinds的用戶需要立即安裝更新修復

對此，360CERT建議廣大用戶好資產自查以及預防工作，以免遭受黑客攻擊。

0x02 風險等級

360CERT對該漏洞的評定結果如下

評定方式等級

威脅等級	嚴重
影響面	廣泛
360CERT評分	10

0x03 事件詳情

SolarWinds Inc.是一家美國公司，為企業提軟件以幫助管理其網絡，系統和信息技術基礎架構。根據其官網簡介，SolarWinds的客戶包括了”財富美國500強“（Fortune 500）企業、美國所有前十大電信業者、美軍所有五大部隊、美國國務院、國家安全局，以及美國總統辦公室等。

根據SolarWinds官方發布安全公告，SolarWinds Orion平臺軟件在2020年3月至6月之間發布的2019.4 - 2020.2.1版本都受到了供應鏈攻擊的影響，這些版本的安裝包內存在惡意的后門應用程序。

這些安裝程序通過 SolarWinds 的數字證書繞過了檢查。安裝更新后會釋放一個 SolarWinds.Orion.Core.BusinessLayer.dll 文件，該文件被Orion平臺通過 SolarWinds.BusinessLayerHostx[64].exe 當作額外的插件進行加載。

該后門在經過長達兩個星期的休眠期后，會根據C2返回的指令進行活動。（包括傳輸文件，執行文件，對系統進行配置文件，重新引導計算機以及禁用系統服務）

同時該惡意程序的所有網絡通信都會偽裝成 Orion Improvement Program （OIP）協議的網絡流量，并將通信返回結果存儲在合法的插件配置文件中，從而使其能夠無縫的與SolarWinds自身活動融合。進而達到隱蔽的目的。

相關文件：

- CORE-2019.4.5220.20574-SolarWinds-Core-v2019.4.5220-Hotfix5.msp （02af7cec58b9a5da1c542b5a32151ba1）

SolarWinds升級程序中也包含了該后門應用程序，系統管理員若在 2020年3月-6月期間安裝過更新，受到該次攻擊影響。

0x04 修復建議

通用修補建議

升級到 2020.2.1 HF 1

并于 2020年12月15日升級到 2020.2.1 HF2

SolarWinds 為商業軟件請聯系 swisupport#solarwinds.com 獲取支持

0x05 解決方案

360 安全大腦

目前360安全大腦、360情報云等360政企全線安全產品可以檢測和防御SolarWinds軟件供應鏈攻擊。

360安全大腦已提供 SolarWinds供應鏈后門專殺工具 ，請聯系 ata#360.cn 獲取。

0x06 時間線

2020-12-13 FireEye公開SUNBURST攻擊細節2020-12-14 360CERT發布通告

0x07 參考鏈接

1、 FireEye-SolarWinds供應鏈攻擊報告

https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

0x08 特制報告下載鏈接

一直以來，360CERT對全球重要網絡安全事件進行快速通報、應急響應。為更好地為政企用戶提供最新漏洞以及信息安全事件的安全通告服務，現360CERT正式推出安全通告特制版報告，以便用戶做資料留存、傳閱研究與查詢驗證。用戶可直接通過以下鏈接進行特制報告的下載。

SolarWinds 供應鏈攻擊通告

http://pub-shbt.s3.360.cn/cert-public-file/【360CERT】SolarWinds_供應鏈攻擊通告.pdf

若有訂閱意向與定制需求請掃描下方二維碼進行信息填寫，或發送郵件至g-cert-report#360.cn ，并附上您的 公司名、姓名、手機號、地區、郵箱地址。

轉載自https://mp.weixin.qq.com/s/xTid2ZyEEQcFmi3XQAAZnw

總結

以上是生活随笔為你收集整理的SolarWinds 供应链攻击通告的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。