SolarWinds是美国一家做网络管理软件的公司,他们的产品Orion在全球范围被大量政府机构和企业使用。2020年被曝出这家公司的软件更新机制被植入恶意代码,影响面从美国联邦政府到财富500强企业,波及了全球一万八千多个客户。这个事件被很多安全专家称为迄今为止影响范围最广的供应链攻击。
故事并不复杂,但细想一下非常恐怖。攻击者利用SolarWinds的软件构建流程,在Orion的合法更新包中插入了恶意代码。当用户下载和安装软件更新时,恶意代码也被一并安装进去。攻击者通过这个入口渗透进了安装了Orion的客户网络,长期潜伏、耐心收集信息,甚至在目标网络中建立了稳定的后门通道。这些被植入后门的组织包括美国多个政府部门、大型军工企业和科技公司,几乎涵盖了整个美国关键基础设施的运营者。
这个事件最可怕的地方在于它利用了供应链信任。用户信任SolarWinds是一家正规的软件公司,信任它的更新是安全的。但攻击者就是在用户最信任的那个环节动了手脚。所有安装了Orion系统的客户,不论是大公司还是政府部门,都可能在不知不觉中成为了被攻击的对象。而且攻击者非常耐心,植入后门之后并没有立刻激活,而是潜伏了很长时间,等待时机成熟再进行数据窃取。
泄密链路分析:攻击者首先攻陷了SolarWinds的内部开发环境,获取了代码签名证书,然后将恶意代码注入了Orion的源代码中。当SolarWinds构建发布版本时,这个恶意代码被包含在合法的数字签名更新包中。客户通过官方渠道下载更新,数字签名验证通过,系统管理员认为这是一个合法更新并部署到内网。攻击者获得了一个隐蔽的远程控制通道,可以在目标网络中横向移动、窃取数据、持久化驻留。整个过程看起来完全正常,没有任何异常信号。
警示:供应链投毒是最难防御的攻击形式之一。你信任的软件供应商可能成为攻击链条中最薄弱的环节。企业需要对供应商进行安全风险评估,对软件更新包进行额外的安全检查,在网络内部设置多重检测点以发现异常行为。单纯依靠数字证书和签名已经不够了,因为攻击者连签名证书也能偷走。供应链安全的本质是:你信任谁,谁就可能成为你的弱点。不要以为用了正规软件就安全了,正规软件本身也可能是一颗定时炸弹。另外建议企业对所有关键系统进行深入的攻击面分析,尤其是那些来自外部供应商的软件产品。信任是必要的,但验证也同样必要。
