SolarWinds新0day漏洞正被積極利用

去年作為大規模供應鏈攻擊事件中心的 SolarWinds 公司近期再被曝新0day漏洞，該漏洞可使攻擊者在受感染系統上運行任意代碼，包括安裝惡意程序以及查看、更改、或刪除敏感數據。

該漏洞被命名為CVE-2021-35211，是一個遠程代碼執行漏洞，可通過 SSH 協議利用，以提升后的權限在 SolarWinds 應用程序上運行惡意代碼。

不過，SolarWinds 公司表示此次易受攻擊的 Serv-U 技術僅應用于 Ser-V Managed File Transfer 和 Serv-U Secure FTP 產品中，所有其他 SolarWinds 和 N-able（以前稱為 SolarWinds MSP） 都不受此問題的影響 ，包括 Orion Platform 和所有 Orion Platform 模塊該漏洞影響的版本為：Serv-U 15.2.3 HF1 及之前版本。

7月9日，Solarwinds 公司發布 Serv-U 版本 15.2.3 修補程序 (HF) 2 來修復該漏洞。

修復方式如下：

| 軟件版本 | 升級路徑 |

| Serv-U 15.2.3 HF1 | 應用 Serv-U 15.2.3 HF2，可在客戶門戶中獲得 |

| Serv-U 15.2.3 | 應用 Serv-U 15.2.3 HF1，然后應用 Serv-U 15.2.3 HF2，可在客戶門戶中獲得 |

| 15.2.3 之前的所有 Serv-U 版本 | 升級到 Serv-U 15.2.3，然后應用 Serv-U 15.2.3 HF1，然后應用 Serv-U 15.2.3 HF2，可在客戶門戶中找到 |

此外，SolarWinds 還督促用戶需注意通過 SSH 從IP地址 98[.]176.196.89和68[.]235.178.32，或通過 TCP 443從 IP 地址 208[.]113.35.58 的潛在可疑連接。并且建議用戶禁用SSH訪問已防止被入侵。

SolarWinds Orion 供應鏈攻擊

去年，SolarWinds 披露了一場重大供應鏈攻擊事件。目前，美國政府指認俄羅斯對外情報局為該事件的幕后黑手。

在此次攻擊中，攻擊者破壞了該公司的內部系統，并對2020年3月至2020年6月間發布的Orion軟件平臺源代碼和構建進行了木馬化。

多個美國政府機構證實，他們在此次供應鏈攻擊中被攻破，名單中包括：

財政部

國家電信和信息管理局（NTIA）

國務院

美國國家衛生研究院（NIH）（隸屬美國衛生部）

國土安全部（DHS）

能源部（DOE）

和國家核安全局（NNSA）

今年3月，SolarWinds報告說，去年的供應鏈攻擊事件造成了350萬美元的費用支出，包括補救和事件調查有關的費用。

盡管與SolarWinds供應鏈攻擊事件的后果相比，350萬美元似乎不算太多，但迄今為止報告的已發生費用只記錄到2020年12月，在之后的幾個月都會有額外的高額支出。

該攻擊事件也引發全球企業與機構對供應鏈安全的關注熱潮，并延續至今。