2020年12月13日(米国時間)、SolarWinds は、SolarWinds Orion Platform ソフトウェアに関するセキュリティアドバイザリを公開しました。SolarWinds によると SolarWinds Orion Platform ソフトウェアを利用するシステムがネットワーク侵害などの攻撃に利用されているとのことです。
SolarWinds
SolarWinds Security Advisory
https://www.solarwinds.com/ja/securityadvisory
下記のバージョンが、本攻撃の影響を受けるとのことです。
- Orion Platform 2019.4 HF 5
- Orion Platform 2020.2
- Orion Platform 2020.2 HF 1
SolarWinds は、対策として Orion Platform のバージョン 2019.4 HF 6 や 2020.2.1 HF 1 へのアップデートを推奨しています。また、同社は 2020年12月15日(米国時間)に追加の Hotfix リリースである 2020.2.1 HF 2 をリリースする予定です。同社によると、2020.2.1 HF 2 は、侵害されたコンポーネントの置き換えや追加のセキュリティ強化を提供する予定です。
すぐにアップデートできない場合は、次のような回避策を推奨しています。
- ファイアウォールを設置して Orion Platform を保護する
- Orion Platform のインターネットアクセスを無効にする
- 必要なポートのみ開放し、接続を制御する
なお、今後も情報が更新される可能性があるため、最新の状況や詳細については、SolarWinds が提供する情報を参照してください。
** 更新: 2020年12月28日 *******************************************
SolarWinds のセキュリティアドバイザリが更新され、新たに見つかった SUPERNOVA と呼ばれるマルウェアの影響を受けるバージョンが追記されています。影響を受けるバージョンや実施するべき対策や回避策などの最新の状況や詳細については、SolarWinds のセキュリティアドバイザリを参照してください。
SolarWinds
SolarWinds Security Advisory
https://www.solarwinds.com/ja/securityadvisory#anchor2
CERT/CC Vulnerability Note VU#843464
SolarWinds Orion API authentication bypass allows remote command execution
https://kb.cert.org/vuls/id/843464
** 更新終了 ******************************************************
さらに、各国のセキュリティ関連組織も本件に関する緊急指令やアドバイザリを公開しており、今回の問題に対応するアップデートを完了するまで、当該製品の利用を一時的に停止することなどが推奨されています。
米国 国土安全保障省
Mitigate SolarWinds Orion Code Compromise
https://cyber.dhs.gov/ed/21-01/
米国 CISA
Active Exploitation of SolarWinds Software
https://us-cert.cisa.gov/ncas/current-activity/2020/12/13/active-exploitation-solarwinds-software
ニュージーランド CERT NZ
SolarWinds Orion vulnerability being actively exploited
https://www.cert.govt.nz/it-specialists/advisories/solarwinds-orion-vulnerability-being-actively-exploited/
また、FireEye と Microsoft が、本攻撃に関して観測情報を公開しています。
FireEye
Global Intrusion Campaign Leverages Software Supply Chain Compromise
https://www.fireeye.com/blog/products-and-services/2020/12/global-intrusion-campaign-leverages-software-supply-chain-compromise.html
Microsoft Security Response Center
Customer Guidance on Recent Nation-State Cyber Attacks
https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/
改訂履歴
2020-12-15 初版
2020-12-28 追記(影響を受けるバージョンについて)
CyberNewsFlash は、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告などを含みます。今回の件を含め、ご提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp