目录导航
最近咨询由美国国家安全局发布的警告说,俄罗斯政府支持的黑客正在利用最近修补 CVE-2020-4006 VMware的缺陷,从他们的目标窃取敏感信息。
在 CVE-2020-4006 漏洞影响工作区一个接入,接入连接器时,Identity Manager和Identity Manager连接器。
受欢迎的调查员Brian Krebs从消息来源获悉, SolarWinds黑客背后的威胁参与者也利用了VMware漏洞。
VMware响应/回应
上周,VMware发布了一份声明,以确认它不知道利用“ CVE 2020-4006”缺陷和“ SolarWinds供应链妥协”进行的攻击。
该公司还补充说,尚未在其网络中找到任何被利用的证据。
“迄今为止,VMware尚未收到有关将CVE 2020-4006与SolarWinds供应链妥协一起使用的通知。” 阅读安全公告。
“此外,尽管我们在自己的内部环境中发现了易受攻击的Orion软件的有限实例,但我们自己的内部调查并未发现任何被利用的迹象。迄今为止,SolarWinds自己的调查也证实了这一点。”
思科事件响应:SolarWinds Orion平台软件攻击
版本1.1:2020年12月22日
2020年12月13日,SolarWinds宣布对其2020年3月至6月间发布的Orion网络监控产品版本进行了高度复杂的手动供应链攻击。
由于此行业问题的特殊性质,思科将通过此页面提供有关调查过程的最新信息和常见问题的解答,该页面是最新的权威状态。该信息基于思科迄今为止的调查,当前可用的危害指标(IOC),并且可能会发生变化。
如果发现需要客户/合作伙伴特定行动的信息,思科将直接或通过我们已建立的沟通流程通知受影响的组织。
资源
以下资源提供了有关此安全问题的更多详细信息,以及Cisco对客户的建议。
- 思科产品安全事件响应团队(PSIRT)于2020年12月14日发布了《思科信息安全咨询》,以就此问题,如何影响他们的网络向客户传达信息,并为他们提供有关设备加固,取证和一般维护的最佳实践。网络安全。
- 思科Talos提供有关整个行业问题的安全性研究和观点。可从以下站点的Cisco Talos获得有关SolarWinds软件攻击的威胁情报:
- 如有怀疑,思科安全服务可用于协助客户。有关更多信息,请参阅Cisco Security Services信息。
思科回应
在SolarWinds网络攻击宣布之后,思科安全立即开始了我们已建立的事件响应流程。我们已经从少量思科资产中隔离并删除了Orion安装。目前,对思科产品,服务或任何客户数据没有已知影响。我们将以最高优先级继续调查这种不断变化的局势的各个方面。
常见问题
问:思科是否使用了SolarWinds Orion软件?
是。尽管思科通常不将SolarWinds用于其企业网络管理或监视,但我们已经从少量思科资产中隔离并删除了Orion安装。
问:思科是否使用了他们确定为受影响的SolarWinds软件?
是。尽管思科通常不将SolarWinds用于其企业网络管理或监视,但我们已经从少数思科资产中隔离并删除了Orion安装。
问:思科是否已确认没有设备在运行受影响的Orion软件版本?
是。迄今为止,思科已根据可用数据隔离并删除了少量的Orion安装。
问:您已采取或计划采取哪些补救措施?
思科具有广泛的网络和端点监视功能。我们使用这些功能来搜索安全社区共享的危害指标(IOC),以寻找威胁行为者活动的证据。任何涉嫌运行受感染软件的设备都将从Cisco网络中隔离出来,以进行全面调查和修复。思科还禁止访问所有已发布的命令和控制服务器。
问:是否由于此问题公开了任何客户数据?
目前没有证据表明由于此事件而泄露了客户数据。
问:对思科业务有什么影响?
目前,对思科产品,服务或任何客户数据没有已知影响。
问:此问题是否影响思科提供服务的能力?
没有。
问:思科的环境是否曾被用来攻击他人?
思科没有迹象表明其系统曾被用来攻击其他系统。
问:思科是否在其网络中使用FireEye产品?
否。思科不在其生产网络中使用FireEye。
问:思科是否已将最新保护措施纳入其产品和服务?
是的,目前,思科产品和服务采用了针对这些威胁的最新保护措施。请参阅Cisco Talos威胁情报以获取最新信息:
blog.talosintelligence.com/2020/12/solarwinds-supplychain-coverage.html
https://blog.talosintelligence.com/2020/12/fireeye-breach -guidance.html
问:在思科环境中是否存在受SolarWinds影响的软件?
此时,已根据可用数据隔离了所有已识别的设备。
问:思科如何保护其环境免受可能受到影响的Orion软件的侵害?
思科具有广泛的网络和端点监视功能。我们使用这些功能来搜索安全社区共享的危害指标(IOC),以寻找威胁行为者活动的证据。任何涉嫌运行受感染软件的设备都将从Cisco网络中隔离出来,以进行全面调查和修复。思科还禁止访问所有已发布的命令和控制服务器。
问:思科如何保护敏感的客户信息?
客户与Cisco共享的信息被认为是高度机密的,Cisco要求将其存储在批准的端点或批准的共享存储工具上。思科需要磁盘加密和加密的企业备份,以及旨在保护数据免受意外/未经授权的丢失,破坏或访问的各种其他技术和组织措施。
问:如果存在漏洞,您是否关闭了易受攻击的系统,直到补丁可用为止?
在全面调查和修复完成之前,任何被确定为可疑的系统都将从Cisco网络中隔离出来。思科还禁止访问所有已发布的命令和控制服务器。
问:思科如何保护其软件开发环境的完整性?
在思科,安全是重中之重,保护思科,我们的产品和客户的具体举措包括:
- 思科安全开发生命周期-此过程为我们的开发人员提供了工具,技术和流程,这些基础以及从创建/收集到破坏的安全构建,存储和签名代码的基础。
- 企业监控-我们对整个企业进行入侵监控,并采取广泛的措施来预防和检测组织内的对抗活动。
- 威胁情报-我们在威胁情报组织中非常活跃。我们与更广泛的安全社区共享并接收可操作的信息,以帮助提高我们的意识并保护全球互联网。
- 价值链安全-我们有一个强大的价值链安全计划,该计划可管理与我们有业务往来的第三方的风险,并有义务使其符合我们的标准。
问:思科的制造业供应链是否受此问题影响?
思科的制造业供应链由思科监控的第三方制造商的业务网络组成。思科的制造业供应链IT网络尚未显示出妥协的迹象。如果思科第三方制造商拥有与思科业务无关的IT网络,那么思科将无法查看这些网络。
问:思科何时会收到对其供应商/供应商的影响评估?
思科正在积极与供应商合作,以评估对其业务的任何潜在影响。
问:思科对12月14日发表在Volexity研究岗位上的回应是什么,描述了涉及SolarWinds的攻击绕过Duo MFA访问电子邮件帐户?
这种绕过技术不是由于Duo产品中存在漏洞,而是如果Duo集成凭据暴露给攻击者,则可能发生这种潜在后果。与其他高特权API(例如用于云基础架构管理,HR平台或软件构建系统的API)类似,用于Duo集成的凭据必须安全处理并存储,以维护Duo集成的安全性。有关如何重置受Duo保护的应用程序的凭据的信息,请参阅https://help.duo.com/s/article/2306。有关什么是Duo应用程序凭证以及如何保护它们的更多常规信息,请参阅https://help.duo.com/s/article/application-credentials。
思科还确认 在少数实验室环境和有限数量的员工端点中发现了Solarwinds后门。
“尽管思科未将SolarWinds用于其企业网络管理或监视,但我们已经在少数实验室环境和有限数量的员工端点中识别并缓解了受影响的软件。” 阅读思科的建议。 “我们已经在少数实验室环境和有限数量的员工端点中识别并缓解了受影响的软件。”
上周,微软确认它是最近的SolarWinds 供应链攻击中被破坏的公司之一 ,但是这家IT巨头否认这家民族国家的行为者破坏了其软件供应链以感染其客户。
不幸的是,受影响的组织列表很长,SolarWinds透露可能至少有18,000个客户受到影响