SolarWinds安全咨询

最近的数据是2021年4月6日,中国夏令时上午9:00

本页涵盖了太阳风对SUNBURST和超新星的响应,以及我们正在采取的应对这些事件的步骤。

  • 和有关信息。的阳光,去在这里
  • 和有关信息。超新星,去在这里
  • 有关我们新的数字代码签名证书的信息,请访问在这里

我们继续争取透明度,并使客户在与执法和情报社区合作的情况下尽可能地了解,并且在我们的客户的最佳利益的范围内。与其他软件公司一样,我们寻求负责任地向我们的产品披露漏洞,同时也减轻了糟糕的演员在我们披露之前释放这些漏洞的产品来利用这些漏洞的风险。

有关我们调查的最新更新,请阅读这个博客要了解更多关于我们正在采取的措施,以确保我们交付的产品的安全性和性能,请继续在这里.你也可以订阅这个RSS提要当我们更新本页时,你会收到通知(注意:你需要将“订阅此RSS提要”的网址剪切并粘贴到RSS提要阅读器,例如Outlook的RSS订阅,以监控更新)。

有一个详细的常见问题(FAQ)页面在这里,当我们了解更多信息时,我们打算更新这个页面。

关于我们新的数字代码签名证书


正如Solarwinds总裁兼首席执行官Sudhakar Ramakrishna在他的橙色物质博客中宣布,我们的计划,一个更安全的太阳风和客户社区10bet娱乐成合营商我们正在采取关键步骤,以确保我们交付给客户的软件的安全性和完整性。

SolarWinds使用数字代码签名证书对每个软件构建进行数字签名,并帮助最终用户验证来自我们的代码。作为我们对SUNBURST漏洞的响应的一部分,SolarWinds用于签名受影响软件版本的代码签名证书已被撤销2021年3月8日。这是对于已经被破坏的软件的行业标准的最佳实践。

我们已经获得了新的数字代码签名证书,并重新构建了使用将要撤销的证书签名的版本,重新签名了我们的代码,并重新发布了之前使用将要撤销的证书签名的所有产品。为了确保您的SolarWinds产品的性能,您必须升级到这些新版本。

有关我们应对SUNBURST漏洞这部分的详细信息,请访问我们的Solarwinds新的数字代码签名证书页面solarwinds.com/trust-center/new-digital-certificate

关于超新星

超新星是恶意软件,使用漏洞部署在猎户座平台,并在猎户座平台安装后。根据我们迄今为止的调查:

  • 超新星不是嵌入在我们的Orion®平台构建中的恶意代码,作为供应链攻击。它是一种单独放置在服务器上的恶意软件,需要在未经授权的情况下访问客户的网络,并被设计成似乎是SolarWinds产品的一部分。
  • Supernova恶意软件由两个组件组成。第一个是一个恶意,未签名的webshel​​l .dll“app_web_logoimagehandler.ashx.b6031896.dll”专门写入在Solarwinds orion平台上使用。第二个是利用orion平台中的漏洞,以实现恶意代码的部署。在最新更新中已解决orion平台中的此漏洞。

我们不断努力提高我们产品的安全性,保护我们的客户和我们自己,因为黑客和其他网络罪犯总是在寻找新的方法来发现和攻击他们的受害者。我们与客户密切合作,以解决和纠正任何潜在的问题,我们鼓励所有客户只运行我们产品的支持版本,并升级到最新版本,以获得我们的更新、改进和增强的全部好处。

关于阳光

SolarWinds和我们的客户是我们系统的网络攻击的受害者,该攻击在我们的Orion®平台软件版本构建中插入了一个漏洞(SUNBURST)2019.4 hf 5, 2020.2应用补丁的2020.2高频1,如果它存在并被激活,可能会允许攻击者危及Orion产品运行的服务器这种攻击是一种非常复杂的供应链攻击,这是指标准过程中的中断导致损害结果,其目标能够攻击软件的后续用户。在这种情况下,似乎代码旨在以目标方式使用,因为它的开发需要手动干预。我们被告知,这种攻击的性质表明它可能是由外国国家进行的,但SolarWinds没有验证攻击者的身份。

随着我们的调查进展,以及与CrowdStrike和KPMG的合作,我们已经确认了名为SUNSPOT的恶意软件,这是一种高度复杂和新颖的代码,旨在在构建过程中将SUNBURST恶意代码注入猎户平台。SUNSPOT不是一种新的恶意软件或攻击,而是SUNBURST网络攻击的一个组成部分。在CrowdStrike博客上阅读更多关于SUNSPOT的信息在这里

虽然SunSpot是攻击者在猎户座平台的构建过程中注入森伯斯特后台的手段,但据报道,泪珠和雨滴可以使用森伯斯特后门作为辅助工具部署的恶意软件加载器。太阳黑子,泪珠和雨滴不是新的弱点在我们的产品中,正如一些媒体报道所指出的,但相反,他们是SUNBURST攻击链的元素吗

CERT发布的网络安全和基础设施安全局(CISA)计算机紧急准备团队(CERT),是国土安全部(DHS)的一部分。紧急指令21-012020年12月13日关于这个问题,并作为与原子能机构正在进行的协调的一部分更新了他们的指导。最新信息可以在CISA's上找到供应链妥协网页,并继续更新,因为我们了解更多。

我们想向您保证,我们已经从我们的下载站点删除了已知受SUNBURST漏洞影响的软件构建。

当我们调查正在进行的基于我们迄今为止的调查,我们不知道这个SUNBURST漏洞影响猎户座平台产品的其他版本。此外,虽然我们仍在调查我们的非orion产品,我们还没有看到任何证据表明它们受到了SUNBURST漏洞的影响。

如果你不确定你使用的是哪个版本的猎户座平台,看看如何检查的说明在这里.要检查您已经应用了哪些修补程序更新,请去在这里

受影响的产品:猎户座平台版本2019.4高频5,2020.2没有安装修复程序,或与2020.2 HF 1,包括:

应用中心监控(ACM)

数据库性能分析仪
集成模块*(DPAIM*

企业运营控制台(EOC)

高可用性(HA)

IP地址管理器(IPAM)

日志分析仪(LA)

网络自动化管理器

网络配置管理器

网络运营经理(NOM)

用户设备跟踪器(UDT)

网络性能监视器(NPM)

NetFlow流量分析器(NTA)

服务器和应用程序监视器(SAM)

服务器配置监视器(SCM)

存储资源监控(SRM)

虚拟化管理器(VMAN)

网络电话质量经理(VNQM)

Web性能监视器(WPM)

*笔记:请注意,DPAIM是一个集成模块和不一样作为数据库性能分析器(DPA),我们认为它不会受到影响。

SolarWinds产品不知道做作的通过此安全漏洞:

8人

访问权限管理器(ARM)

AppOptics

备份文件

备份分析器

备份服务器

备份工作站

CatTools

Dameware迷你遥控

Dameware补丁管理器

Dameware远程无处不在

Dameware远程管理

数据库性能分析器(DPA)

数据库性能监视器(DPM)

DNSstuff

工程师的工具集

工程师的Web工具集

发动机故障转移

防火墙安全监控

身份监控

ipMonitor

猕猴桃CatTools

猕猴桃日志查看器

猕猴桃Syslog服务器

Lansurveyor.

Librato

日志和事件管理器(LEM)

日志和事件管理器工作站版

Loggly

移动管理

网络拓扑映射器(NTM)

Papertrail

补丁管理器

Pingdom

Pingdom服务器监控

安全事件经理(SEM)

安全事件管理器工作站版

服务器分析器

服务台

Serv-U FTP服务器

Serv-U网关

建议Serv-U服务器

存储管理器

存储分析器

威胁监视器

虚拟化分析器

网络帮助台

SQL哨兵

DB哨兵

V哨兵

赢得哨兵

BI哨兵

SentryOne文档

桑德里酮测试

任务的工厂

DBA xPress

方案资源管理器

APS哨兵

DW哨兵

SQL哨兵的必需品

SentryOne监控

BI xPress

SolarWinds MSP产品:

N-central——调查

N-central——拓扑

n-central - netpath

N-central

NetPath - 服务器

RMM

灾难恢复备份

M365备份

备份

邮件保证

SpamExperts

MSP经理

PassPortal

控制住

补丁

自动化管理

Webprotection

我们也没有发现任何证据表明我们的任何免费工具、Orion代理或Web性能监视器(WPM)玩家受到SUNBURST的影响。

建议的行动


SolarWinds使用数字代码签名证书对每个软件构建进行数字签名,并帮助最终用户验证来自我们的代码。作为我们对SUNBURST漏洞的响应的一部分,SolarWinds用于签名受影响软件版本的代码签名证书已被撤销2021年3月8日。这是对于已经被破坏的软件的行业标准的最佳实践。

我们已经获得了新的数字代码签名证书,并重新构建了受影响的版本,重新签名了我们的代码,并重新发布了之前使用将要撤销的证书签名的所有产品。为了确保您的SolarWinds产品的性能,您必须升级到这些新版本。

如果您现在不能升级,我们提供了一个脚本,客户可以安装这个脚本来临时保护他们的环境免受超新星恶意软件的侵害***.该脚本可在以下网站获取https://downloads.solarwinds.com/solarwinds/Support/SupernovaMitigation.zip

要利用我们部署产品的最新的可用安全更新保护,我们建议您的所有活动维护客户的猎户座平台产品升级到2020.2.5版本越快越好。要了解更多信息,请查看发布说明在这里,以及KB文章在这里

客户ORION平台版本2019.4.2或2020.2.4应用安全增强设计来保护您免受SUNBURST和超新星。注意:如果重新安装,您需要重新应用补丁或热修复程序。

旨在保护森伯斯特和超新星的最新更新如下:

  • 2019.2 HF 4(2021年2月5日发布)
  • 2019.4.2(2021年2月2日发布)
  • 2020.2.4(2021年1月25日上映)
  • 2019.2安全补丁(2020年12月23日发布)
  • 2018.4安全补丁(2020年12月23日发布)
  • 2018.2安全补丁(2020年12月23日发布)

要识别您正在使用的orion平台软件的版本,您可以查看如何检查的指示在这里或者参考下面的图片.要检查你已经申请了哪些更新,请去在这里

来自orion web控制台

Orion Web Console登录页面页脚显示所有产品版本。参见下面的示例2019.4高频4

我们建议您采取以下步骤使用您的版本的太阳风猎户座平台:

猎户座平台版本

已知受SUNBURST影响?

已知易受超新星影响?

受数码证书撤销影响

建议的行动

直接的联系

2020.2.5

没有

没有

没有

不需要行动

不需要行动

2020.2.4

没有

没有

没有

不需要采取任何行动来保护SUNBURST或超新星;不过SolarWinds建议您升级到2020.2.5,以解决其他不相关的安全漏洞。更多的信息在这里

customerportal.solarwinds.com

2020.2.1 HF 2

没有

没有

是的

升级到2020.2.5

customerportal.solarwinds.com

2020.2.1 HF 1

没有

是的

是的

升级到2020.2.5

customerportal.solarwinds.com

2020.2.1

没有

是的

是的

升级到2020.2.5

customerportal.solarwinds.com

2020.2

高频1

是的

是的

是的

升级到2020.2.5

customerportal.solarwinds.com

2020.2

是的

是的

是的

升级到2020.2.5

customerportal.solarwinds.com

2019.4.2

没有

没有

没有

不需要行动

不需要行动

2019.4

高频6

没有

没有

是的

升级到2020.2.5升级到2019.4.2

customerportal.solarwinds.com

2019.4

高频5

是的

是的

是的

升级到2020.2.5升级到2019.4.2

customerportal.solarwinds.com

2019.4

高频4

没有

是的

是的

升级到2020.2.5升级到2019.4.2

customerportal.solarwinds.com

2019.4

高频3

没有

是的

没有

升级到2020.2.5升级到2019.4.2

customerportal.solarwinds.com

2019.4

高频2

没有

是的

没有

升级到2020.2.5升级到2019.4.2

customerportal.solarwinds.com

2019.4

高频1

没有

是的

没有

升级到2020.2.5升级到2019.4.2

customerportal.solarwinds.com

2019.4

没有*

是的

没有

升级到2020.2.5升级到2019.4.2

customerportal.solarwinds.com

2019.2

高频3

没有

是的

没有

升级到2020.2.5升级到2019.4.2

customerportal.solarwinds.com

2019.2

高频2

没有

是的

没有

升级到2020.2.5升级到2019.4.2

customerportal.solarwinds.com

2019.2

高频1

没有

是的

没有

升级到2020.2.5升级到2019.4.2

customerportal.solarwinds.com

2019.2

没有

是的

没有

升级到2020.2.5升级到2019.4.2

customerportal.solarwinds.com

2018.4

没有

是的

没有

升级到2020.2.5升级到2019.4.2

customerportal.solarwinds.com

2018.2

没有

是的

没有

升级到2020.2.5升级到2019.4.2

customerportal.solarwinds.com

所有之前的版本

没有

是的

没有

升级到2020.2.5,应用临时缓解脚本,或停止使用

要升级,请执行customerportal.solarwinds.com或应用临时缓解脚本***https://downloads.solarwinds.com/solarwinds/Support/SupernovaMitigation.zip

*作为正在进行的调查的一部分,我们确定了ORION平台版本2019.4应用补丁的发布于2019年10月,包含了对代码库的测试修改。虽然这个版本不受SUNBURST漏洞的影响,但这是我们目前看到的攻击者活动的第一个版本。后续版本2019.4 HF 1、2019.4 HF 2、2019.4 HF 3和2019.4 HF 4既不包括2019.4版本中包含的测试修改,也不包括2019.4 HF 5、2020.2中包含的SUNBURST漏洞没有修补程序2020.2 HF 1。

Arunachal Pradesh,如果你按照上面的图表应用超新星安全补丁,请访问KB的这篇文章验证补丁应用于所有Orion平台的web服务器。如果您重新安装了Orion服务器,您将需要重新应用相应的补丁。

***如果使用超新星缓解脚本来解决超新星漏洞,请使用该包内文档中的指导来确认临时补丁。请注意,这个脚本只测试到了NPM 11.x。如果重新安装Orion服务器,则需要重新应用此脚本。

所有推荐升级
版本目前可用T.customerportal.solarwinds.com

所有修补程序更新都是累积的,可以从任何早期版本安装。不需要安装以前发布的修补程序更新。在应用修补程序之前,您可能需要同步您的许可证。按以下步骤在这里启动许可证的同步。

如果你已经从你的猎户座许可中禁用了对外通信,请遵循“离线激活许可”章节在这里.成功同步许可证后,请运行安装程序安装热修复程序。

为您的orion平台安装提供额外的安全性,请按照可用指南在这里猎户座平台实例。主要的缓解步骤包括将您的Orion平台安装在防火墙之后,禁用Orion平台的互联网访问,并将端口和连接限制为仅用于操作您的平台所需的端口和连接。

我们要做些什么来帮助他们?

我们的主要关注点一直是帮助我们的客户保护其环境的安全性。我们对客户的承诺依然很高,而且我们已经同时介绍他设计了一个新项目来解决我们客户面临的问题。

我们已经开发了一个项目,提供专业咨询资源与猎户座平台和产品经验,以帮助客户谁需要指导或支持升级到最新的修复程序更新。这些咨询服务将免费提供给我们积极维护猎户座平台产品的客户。我们希望确保致力于保护环境的客户能够从知识资源中获得他们所需要的帮助和帮助。阅读更多有关该计划在这里

我们继续在调查中与领先的安全专家合作,以帮助进一步保护我们的产品和内部系统。

总结

对我们软件的安全性和信任是我们对客户承诺的基础。我们努力实施和维护适当的管理、物理和技术保障措施、安全流程、程序和标准,以保护我们的客户。

我们对SUNBURST漏洞的调查和补救努力是早期和持续的。感谢你们一直以来的耐心和合作.我们正在定期更新这个安全咨询页面solarwinds.com/securityadvisory,我们鼓励您参阅此页




{{静态内容}}
{{CAPTION_TITLE}}

{{CAPTION_CONTENT}}

{{标题}}