SolarWinds安全咨询

最近的数据是2021年4月6日,中国夏令时上午9:00

此页面涵盖了SolarWinds对Sunburst和Supernova的响应,以及我们正在响应这些事件的步骤。

  • 有关的信息森伯斯特, 去这里
  • 有关的信息超新星, 去这里
  • 有关我们新的数字代码签名证书的信息,请访问这里

在我们与执法部门和情报部门合作的过程中,我们将继续努力保持透明度,并在符合客户最佳利益的情况下,尽可能让客户了解我们的情况。像其他软件公司一样,我们寻求负责任地向我们的客户披露我们产品中的漏洞,同时也通过在我们披露这些漏洞之前向我们的产品发布更新来弥补这些漏洞,从而减少坏人利用这些漏洞的风险。

有关我们调查的最新进展,请参阅这个博客要了解更多关于我们正在采取的措施,以确保我们交付的产品的安全性和性能,请继续这里.你也可以订阅这个RSS提要在更新此页面时要通知(注意:您需要将“订阅此RSS Feed”URL剪切并粘贴到RSS Feed Reader,例如Outlook的RSS订阅,以监控更新)。

有一个详细的常见问题(FAQ)页面这里,我们打算在了解更多信息时更新此页面。

关于我们新的数字代码签名证书


太阳风公司总裁兼首席执行官Sudhakar Ramakrishna在他的橙色物质博客中宣布,我们的计划,一个更安全的太阳风和客户社区万博合法吗我们正在采取关键步骤,以确保我们交付给客户的软件的安全性和完整性。

SolarWinds使用数字代码签名证书来数字签名签名,并帮助最终用户身份验证代码来自我们。作为我们对Sunburst漏洞的回答的一部分,SolarWinds使用的代码签名证书被撤销了签署受影响的软件版本3月8日,2021年3月8日。这是行业标准的软件妥协的最佳实践。

我们已经获得了新的数字代码签名证书,并重新构建了使用将要撤销的证书签名的版本,重新签名了我们的代码,并重新发布了之前使用将要撤销的证书签名的所有产品。为确保您的Solarwinds产品的性能,必须升级到这些新构建。

有关这一部分的全部详细信息,我们对Sunburst漏洞的回复,请访问我们的太阳风新的数字代码签名证书pagesolarwinds.com/trust-center/new-digital-certificate

关于超新星

超新星是恶意软件,使用漏洞部署在猎户座平台,并在猎户座平台安装后。根据我们迄今为止的调查:

  • SuperNova不是嵌入我们orion®平台的构建中的恶意代码作为供应链攻击。它是单独放置在需要未经授权访问客户网络的服务器上的恶意软件,并且旨在似乎是SolarWinds产品的一部分。
  • 超新星恶意软件由两个部分组成。第一个是一个恶意的,未签名的webshell .dll " app_web_logoimagehandlers .ashx. b603186 .dll "专门编写用于SolarWinds猎户座平台。第二种是利用Orion平台中的一个漏洞来部署恶意代码。猎户座平台的这一漏洞已在最新更新中得到解决。

我们不断努力提高我们产品的安全性,并保护我们的客户和我们自己,因为黑客和其他网络犯罪分子总是寻求新的方式来寻找和攻击受害者。我们与客户密切合作,解决和修复任何潜在的问题,我们鼓励所有客户只运行我们的产品版本,并升级到最新版本,以获得我们的更新,改进和增强的充分利益。

关于森伯斯特

SolarWinds和我们的客户是Cyber​​Attack的受害者到我们的系统中插入漏洞(Sunburst)在我们的orion®平台软件版本中为版本版本2019.4 hf 5, 2020.2unpatched.2020.2 HF 1,如果存在并激活,可能允许攻击者损害Orion产品运行的服务器这种攻击是一种非常复杂的供应链攻击,它指的是标准流程中的中断导致一个折衷的结果,其目标是能够攻击软件的后续用户。在这种情况下,代码似乎是要以一种有针对性的方式使用的,因为它的开发需要手动干预。我们收到通知,这次攻击的性质表明它可能是由某个外国国家实施的,但太阳风尚未证实攻击者的身份。

随着我们的调查进展,随着我们与Crowdstrike和KPMG合作,我们已经确定了名为SunSpot的恶意软件,这是旨在在构建过程中将森伯斯特恶意代码注入ORION平台的高度复杂和新颖的代码。Sunspot不是一个新的恶意软件或攻击,而是森伯斯特网络的组成部分。阅读更多关于Crowdstrike博客上的SunSpot这里

虽然SUNSPOT是攻击者在猎户座平台构建过程中注入SUNBURST后门的手段,但据报道TEARDROP和RAINDROP是恶意软件加载程序,可以作为SUNBURST后门的辅助工具部署。太阳黑子,泪滴和雨滴不是新的漏洞在我们的产品中,随着媒体中的一些报告表明,但相反,它们是森伯斯特袭击链的元素

美国国土安全部(DHS)下属的网络安全和基础设施安全局(CISA)计算机应急准备小组(CERT)发布了这一信息紧急指令21-01在2020年12月13日,我们已经更新了他们的指导,作为我们与该机构持续协调的一部分。最新的信息可以在中钢协上找到供应链妥协页面并继续更新,因为我们了解更多信息。

我们希望向您保证,我们已从下载网站上删除了已知已知的软件版本受到Sunburst漏洞的影响。

当我们调查是正在进行的基于我们迄今为止的调查,我们不知道这个SUNBURST漏洞影响猎户座平台产品的其他版本。此外,虽然我们仍在调查我们的非orion产品,我们还没有看到任何证据表明它们受到了SUNBURST漏洞的影响。

如果您不确定您正在使用的orion平台的版本,请参阅有关如何检查的指示这里.要检查您已经应用了哪些修补程序更新,请去这里

受影响的产品:猎户座平台版本2019.4高频5,2020.2没有安装修复程序,或与2020.2 HF 1, 包括:

应用中心监视器(ACM)

数据库性能分析仪
集成模块*(DPAIM

企业运营控制台(EOC)

高可用性(HA)

IP地址管理器(IPAM)

Log Analyzer(洛杉矶)

网络自动化管理器(NAM)

网络配置管理器(NCM)

网络运营经理(NOM)

用户设备跟踪器(UDT)

网络性能监视器(NPM)

Netflow流量分析仪(NTA)

服务器和应用监视器(SAM)

服务器配置监视器(SCM)

存储资源监视器(SRM)

虚拟化管理器(为)

VoIP和网络质量经理(VNQM)

网页性能监视器(WPM)

*注意:请注意,DPAIM是一个集成模块和不一样作为数据库性能分析器(DPA),我们认为它不会受到影响。

Solarwinds产品不知道影响通过此安全漏洞:

8人

访问权限管理器(ARM)

AppOptics

备份文件

备份分析器

备份服务器

备份工作站

CatTools

Dameware Mini遥控器

Dameware补丁管理器

Dameware远程无处不在

Dameware远程管理

数据库性能分析器(DPA)

数据库性能监视器(DPM)

DNSSTUFF.

工程师的工具集

工程师的Web工具集

故障转移引擎

防火墙安全监视器

身份监控

IPMonitor.

猕猴桃CatTools

猕猴桃日志查看器

猕猴桃Syslog服务器

LANSurveyor

Librato

日志和事件管理器(LEM)

日志和活动管理器工作站版

keggly.

移动管理

网络拓扑映射器(NTM)

纸桩

补丁经理

pingdom服务器显示器

安全事件经理(SEM)

安全事件管理器工作站版

服务器性能分析

服务台

Serv-U FTP服务器

Serv-U网关

建议Serv-U服务器

存储管理器

储存分析器

威胁监控

虚拟化分析器

网络帮助台

SQL SENTRY.

db sentry.

v entry.

赢得哨兵

BI SENTRY.

SentryOne文档

SentryOne测试

任务的工厂

DBA xPress

计划资源管理器

APS哨兵

dw sentry.

SQL Sentry Essentials.

SentryOne监控

伯Xpress.

Solarwinds MSP产品:

N-中央 - 探测

N-central——拓扑

N-central——NetPath

N-central

NetPath -服务器

rmm.

备份灾难恢复

M365备份

备份

邮件保证

Spamexperts.

MSP管理员

护理

控制

修补

自动化经理

网页防护

我们也没有发现任何证据表明我们的任何免费工具,ORION代理商或网络性能监视器(WPM)玩家都受森伯斯特影响。

推荐的措施


SolarWinds使用数字代码签名证书来数字签名签名,并帮助最终用户身份验证代码来自我们。作为我们对Sunburst漏洞的回答的一部分,SolarWinds使用的代码签名证书被撤销了签署受影响的软件版本3月8日,2021年3月8日。这是行业标准的软件妥协的最佳实践。

我们已经获得了新的数字代码签名证书,并重建了受影响的版本,重新签署了我们的代码,并重新发布了先前使用的证书签名的所有产品。为确保您的Solarwinds产品的性能,必须升级到这些新构建。

如果您在此时无法升级,我们提供了一个脚本,客户可以安装以临时保护他们的环境免受超新星恶意软件***.该脚本可用https://downloads.solarwinds.com/solarwinds/support/supernovamitigation.zip.

为了利用我们最新可用的安全更新保护您已部署的产品,我们建议所有猎户座平台产品的主动维护客户升级到2020.2.5版尽快地。有关更多信息,请查看发行说明这里和kb文章这里

客户猎户座平台版本2019.4.2或2020.2.4应用安全增强功能旨在保护您免受森伯斯特和超新星。笔记:如果重新安装,您需要重新应用补丁或热修复程序。

为预防SUNBURST和SUPERNOVA而设计的最新更新如下:

  • 2019.2 HF 4(2月5日发布)
  • 2019.4.2(2021年2月2日发布)
  • 2020.2.4(2021年1月25日发布)
  • 2019.2安全补丁(2020年12月23日发布)
  • 2018.4安全补丁(2020年12月23日发布)
  • 2018.2安全补丁(2020年12月23日发布)

要确定您正在使用的猎户座平台软件的版本,您可以查看如何检查的说明这里或者参考下面的图像.要检查所应用的更新,请访问这里

从Orion Web控制台

所有产品版本都显示在ORION Web控制台登录页面的页脚中。请参阅下面的示例2019.4 HF 4.

我们建议按照下表采取与您使用您的Solarwinds Orion平台版本相关的步骤:

猎户座平台版本

被森伯斯特影响的人?

众所周知的超新星?

受数字证书撤销影响

建议操作

直接链接

2020.2.5

没有

没有

没有

没有必要的行动

没有必要的行动

2020.2.4

没有

没有

没有

不需要采取行动来防止森伯斯特或超新星;虽然SolarWinds建议您升级到2020.2.5以解决其他不相关的安全漏洞。更多信息是这里

cheubleportal.solarwinds.com.

2020.2.1高频2

没有

没有

是的

升级到2020.2.5

cheubleportal.solarwinds.com.

2020.2.1高频1

没有

是的

是的

升级到2020.2.5

cheubleportal.solarwinds.com.

2020.2.1

没有

是的

是的

升级到2020.2.5

cheubleportal.solarwinds.com.

2020.2

高频1

是的

是的

是的

升级到2020.2.5

cheubleportal.solarwinds.com.

2020.2

是的

是的

是的

升级到2020.2.5

cheubleportal.solarwinds.com.

2019.4.2

没有

没有

没有

没有必要的行动

没有必要的行动

2019.4

高频6

没有

没有

是的

升级到2020.2.5升级到2019.4.2.

cheubleportal.solarwinds.com.

2019.4

高频5

是的

是的

是的

升级到2020.2.5升级到2019.4.2.

cheubleportal.solarwinds.com.

2019.4

高频4

没有

是的

是的

升级到2020.2.5升级到2019.4.2.

cheubleportal.solarwinds.com.

2019.4

高频3

没有

是的

没有

升级到2020.2.5升级到2019.4.2.

cheubleportal.solarwinds.com.

2019.4

高频2

没有

是的

没有

升级到2020.2.5升级到2019.4.2.

cheubleportal.solarwinds.com.

2019.4

高频1

没有

是的

没有

升级到2020.2.5升级到2019.4.2.

cheubleportal.solarwinds.com.

2019.4

没有

是的

没有

升级到2020.2.5升级到2019.4.2.

cheubleportal.solarwinds.com.

2019.2

高频3

没有

是的

没有

升级到2020.2.5升级到2019.4.2.

cheubleportal.solarwinds.com.

2019.2

高频2

没有

是的

没有

升级到2020.2.5升级到2019.4.2.

cheubleportal.solarwinds.com.

2019.2

高频1

没有

是的

没有

升级到2020.2.5升级到2019.4.2.

cheubleportal.solarwinds.com.

2019.2

没有

是的

没有

升级到2020.2.5升级到2019.4.2.

cheubleportal.solarwinds.com.

2018.4

没有

是的

没有

升级到2020.2.5升级到2019.4.2.

cheubleportal.solarwinds.com.

2018.2

没有

是的

没有

升级到2020.2.5升级到2019.4.2.

cheubleportal.solarwinds.com.

所有先前版本

没有

是的

没有

升级到2020.2.5,应用临时缓解脚本或停止使用

升级,转到cheubleportal.solarwinds.com.或应用临时缓解脚本***https://downloads.solarwinds.com/solarwinds/support/supernovamitigation.zip.

作为正在进行的调查的一部分,我们已经确定猎户座平台版本2019.4unpatched.,2019年10月发布,包含对代码库的测试修改。虽然这个版本不受犹豫漏洞的影响,但它是我们此时从攻击者看到的第一个版本。随后的发布2019.4 HF 1,2019.4 HF 2,2019.4 HF 3和2019.4 HF 4不包括2019.4版或2019.4 HF 5,2020.2中包含的Sunburst漏洞所载的测试修改没有热修复补丁和2020.2 HF 1。

**如果您以上面的图表申请超新星安全补丁,请访问这个kB文章要验证修补程序应用于所有orion平台Web服务器。如果重新安装ORION服务器,则需要重新应用相应的补丁。

***如果使用SuperNova缓解脚本来解决SuperNova漏洞,请使用该包中的文档中的指导确认临时补丁。请注意,此脚本仅测试到NPM 11.x.如果重新安装ORION服务器,则需要重新应用此脚本。

所有推荐的升级
当前可用的版本atcheubleportal.solarwinds.com.

所有修补程序更新都是累积的,可以从任何早期版本安装。无需安装以前发布的修补程序更新。您可能需要在应用修补程序之前同步许可证。按以下步骤这里启动许可证的同步。

如果您已从ORION许可证中禁用外部通信,请按照“激活许可脱机”部分这里.一旦您成功同步许可证,请运行安装程序以安装修补程序。

为您的猎户座平台安装提供额外的安全性,请遵循可用的指导方针这里猎户座平台实例。主要的缓解步骤包括将您的Orion平台安装在防火墙之后,禁用Orion平台的互联网访问,并将端口和连接限制为仅用于操作您的平台所需的端口和连接。

我们要做些什么来帮助他们?

我们的主要重点是帮助客户保护其环境的安全性。我们对客户的承诺仍然很高,我们已经很高介绍ED一个旨在解决客户面临的问题的新程序。

我们开发了一个计划,提供与Orion平台和产品经历的专业咨询资源,以帮助需要指导或支持升级到最新的修补程序更新的客户。这些咨询服务将免费提供给我们积极维护猎户座平台产品的客户。我们希望确保客户致力于保护其环境的帮助和帮助,他们需要了解知识渊博的资源。阅读更多关于该计划的信息这里

我们继续在我们的调查中使用领先的安全专家,以帮助进一步保护我们的产品和内部系统。

概括

我们的软件中的安全和信任是我们对客户承诺的基础。我们努力实施和维护旨在保护客户的适当行政,物理和技术保障,安全流程,程序和标准。

我们的调查和修复森伯斯特脆弱性的努力正在提前和持续。感谢您继续耐心和伙伴关系.我们正在定期更新此安全咨询页面Solarwinds.com/securitadadisory.,我们鼓励您参考此页面




{{静态内容}}
{{caption_title}}

{{caption_content}}

{{标题}}