万博体育安全咨询

最近,中国东部时间2021年4月6日上午9点

本页涵盖太阳风对太阳爆发和超新星的反应, 以及我们为应对这些事件所采取的步骤. 

  • 和有关信息。 的阳光, go 在这里.
  • 和有关信息。 超新星, go 在这里.
  • 有关我们的新数字代码签名证书的信息,请访问 在这里

在与执法部门和情报部门合作的过程中,我们将继续努力保持透明度,并尽可能让我们的客户了解情况, 在一定程度上,这对我们的客户是最有利的. 和其他软件公司一样, 我们力求负责任地向客户披露我们产品中的漏洞,同时通过在我们披露这些漏洞之前发布产品更新来弥补这些漏洞,从而降低不法分子试图利用这些漏洞的风险.

 

有关我们调查的最新进展,请参阅 这个博客, 了解更多关于我们正在采取的步骤,以确保我们交付的产品的安全和性能, go 在这里. 你也可以 请订阅这个RSS频道 (注意:你需要把“订阅此RSS提要”的网址剪切并粘贴到RSS提要阅读器上, e.g. Outlook的RSS订阅,以监视更新).

 

您可以查看FAQ(常见问题解答)页面 在这里,我们打算在了解更多信息后更新此页面. 

 

 

关于我们的新数字代码签名证书


正如万博体育总裁兼首席执行官Sudhakar Ramakrishna在他的橙色物质博客中所宣布的, 我们的计划,一个更安全的太阳风和客户社区, 我们正在采取关键步骤,以确保我们交付给客户的软件的安全性和完整性.

 

万博体育使用数字代码签名证书对每个软件构建进行数字签名, 为了帮助终端用户验证代码,我们需要这些代码. 作为我们应对的阳光漏洞的一部分, 万博体育用于签署受影响软件版本的代码签名证书已被撤销 2021年3月8日,. 这是针对被破坏的软件的行业标准最佳实践.

 

我们已经获得了新的数字代码签名证书,并重新构建了用要撤销的证书签署的版本, 重新签署我们的代码了吗, 并重新发布了所有之前签署了要撤销证书的产品. 为了确保万博体育产品的性能,您必须升级到这些新版本.

 

有关我们对的阳光漏洞的这部分响应的详细信息,请访问我们的 太阳风新数字代码签名证书 页面 kouluttajafoorumi.net/trust-center/new-digital-certificate.

 

 
关于超新星

超新星是利用猎户座平台的一个漏洞部署的恶意软件, 在猎户座平台安装好之后. 根据我们迄今为止的调查:

  • 超新星不是恶意代码嵌入我们的Orion®平台构建作为供应链攻击. 它是单独放置在服务器上的恶意软件,需要未经授权的访问客户的网络,并被设计成看起来是太阳风产品的一部分. 
  • 超新星恶意软件由两个组件组成. 第一个是恶意的、未签名的webshell .dll”app_web_logoimageh和ler.ashx.b6031896.dll "专门编写用于太阳风猎户座平台. 第二个是利用Orion Platform中的漏洞来部署恶意代码. 这一漏洞在猎户座平台已解决在最新的更新.

我们不断努力提高产品的安全性,保护我们的客户和我们自己,因为黑客和其他网络犯罪分子总是在寻找和攻击他们的受害者的新方法. 我们与客户密切合作,解决和纠正任何潜在的问题, 我们鼓励所有客户只运行我们产品的支持版本,并升级到最新版本,以充分受益于我们的更新, 改进, 和增强.

 

 
关于阳光

万博体育和我们的客户是我们系统的网络攻击的受害者,在我们的Orion®Platform软件版本中插入了一个漏洞(的阳光) 2019.4 HF 5, 2020.2 应用补丁的, 和 2020.2 HF 1, 哪一个, 如果存在并被激活, 可能会让攻击者入侵Orion产品运行的服务器这次攻击是一次非常复杂的供应链攻击, 哪一种是指标准流程的中断导致了一个折衷的结果,从而能够攻击该软件的后续用户. 在这种情况下, 这段代码的目的似乎是有针对性地使用它,因为它的利用需要人工干预. 我们得知这次袭击的性质表明它可能是由外部国家实施的, 但太阳风公司尚未核实攻击者的身份.

随着我们调查的进展, 就像我们与CrowdStrike和KPMG合作一样, 我们发现了名为SUNSPOT的恶意软件, 在构建过程中,设计用于将的阳光恶意代码注入猎户座平台的高度复杂和新颖的代码. SUNSPOT不是一种新的恶意软件或攻击,而是的阳光网络攻击的一个组成部分. 更多关于太阳黑子的信息请访问CrowdStrike博客 在这里.

而SUNSPOT是攻击者在猎户座平台构建过程中注入的阳光后门的手段, 据报道,TEARDROP和RAINDROP是恶意软件加载器,可以使用的阳光后门作为次要工具部署. 太阳黑子,泪滴,雨滴 不是新的漏洞 在我们的产品中,正如一些媒体报道所指出的,但相反,他们 是的阳光攻击链的元素吗.

网络安全与基础设施安全局(CISA)计算机应急准备小组(CERT), 国土安全部(DHS)的一部分, 证书颁发 紧急指令21-01 12月13日, 作为我们与该机构正在进行的协调的一部分,我们更新了他们的指南. 最新的信息可以在中钢协的网站上找到 供应链妥协 页面,随着我们了解的更多,将继续更新.

 

我们向您保证,我们已经从我们的下载站点删除了已知受的阳光漏洞影响的软件构建. 

当我们 调查 正在进行的, 根据我们目前的调查, 我们不知道这个的阳光漏洞会影响Orion Platform产品的其他版本. 也, 而我们还在研究我们的非猎户座产品, 我们还没有看到任何证据表明它们受到了的阳光漏洞的影响.

如果你不确定你使用的是哪个版本的猎户座平台, 查看如何检查的说明 在这里. 要检查您应用了哪些修补程序更新,请执行 在这里.

受影响的产品: 猎户座平台版本 2019.4 HF 5, 2020.2 没有安装热修复程序,或到2020年.2 HF 1,包括:

应用中心监控(ACM)

数据库性能分析仪
集成模块* (DPAIM*)

企业运营控制台(EOC)

高可用性(HA)

IP地址管理器(IPAM)

日志 Analyzer(洛杉矶)

网络自动化经理(NAM)

网络配置管理器(NCM)

网络运营经理(NOM)

用户设备跟踪器(UDT)

 

网络性能监视器(NPM)

NetFlow流量分析器(NTA)

服务器 & 应用程序监视(山姆)

服务器配置监视器(SCM)

存储资源监控(SRM)

虚拟化管理器(为)

网络电话 & 网络质量经理(VNQM)

Web性能监视器(WPM)

*注意: 请注意DPAIM是一个集成模块和 不一样 作为数据库性能分析器(DPA),我们认为它不受影响.

 

万博体育产品 不知道 影响 通过此安全漏洞:

8人

访问权限管理器(ARM)

AppOptics

备份文件            

备份分析器

备份服务器    

备份工作站        

CatTools

Dameware迷你遥控器

Dameware补丁管理器           

Dameware远程无处不在

Dameware远程管理        

数据库性能分析器(DPA)

数据库性能监视器(DPM)

DNSstuff             

工程师的工具集 

工程师的Web工具集

发动机故障转移

防火墙安全监控       

身份监控               

ipMonitor            

猕猴桃CatTools

猕猴桃日志查看器

猕猴桃Syslog服务器

LANSurveyor

Librato

日志 & 事件管理器(LEM)

日志和事件管理器工作站版 

日志gly

移动管理

网络拓扑映射器(NTM)

Papertrail

补丁管理器  

Pingdom

Pingdom服务器监控

保安及活动经理(SEM)

安全事件管理器工作站版

服务器性能分析

服务台

Serv-U FTP服务器

Serv-U网关

建议Serv-U服务器

存储管理器

存储分析器

威胁监控 

虚拟化分析器

网络帮助台    

SQL哨兵 

DB哨兵

V哨兵

赢得哨兵

BI哨兵 

SentryOne文档 

SentryOne测试

任务的工厂

DBA xPress

方案资源管理器

APS哨兵

DW哨兵

SQL哨兵的必需品

SentryOne监控

BI xPress

 

万博体育 MSP产品:

N-central——调查

N-central——拓扑

N-central——NetPath

N-central

NetPath -服务器

RMM

灾难恢复备份

M365备份

备份

邮件保证

SpamExperts

MSP经理

PassPortal

控制

补丁

自动化管理

Webprotection

 

我们也没有发现任何证据表明我们的免费工具, 猎户座代理, 或Web性能监视器(WPM)玩家受到的阳光的影响.

 

建议的行动


万博体育使用数字代码签名证书对每个软件构建进行数字签名, 为了帮助终端用户验证代码,我们需要这些代码. 作为我们应对的阳光漏洞的一部分, 万博体育用于签署受影响软件版本的代码签名证书已被撤销 2021年3月8日,. 这是针对被破坏的软件的行业标准最佳实践.

 

我们已经获得了新的数字代码签名证书,并重新构建了受影响的版本, 重新签署我们的代码了吗, 并重新发布了所有之前签署了要撤销证书的产品. 为了确保万博体育产品的性能,您必须升级到这些新版本.

 

如果您此时无法升级, 我们提供了一个脚本,客户可以安装它来临时保护他们的环境免受超新星恶意软件的侵害***. 该脚本可在 http://downloads.kouluttajafoorumi.net/solarwinds/Support/SupernovaMitigation.zip.

 

利用我们最新可用的安全更新保护您部署的产品, 我们向所有积极维护的客户推荐Orion Platform产品 升级到2020年版本.2.5 尽快. 要了解更多信息,请查看发布说明 在这里,及KB文章 在这里.

 

客户 猎户座平台版本2019.4.2 or 2020.2.4 应用安全增强,旨在保护您免受的阳光和超新星. 注意: 如果您重新安装,您需要重新应用补丁或热修复.

 

最新的防护措施如下:

  • 2019.2 HF 4(2021年2月5日发布)
  • 2019.4.2(2021年2月2日上映)
  • 2020.2.4(2021年1月25日上映)
  • 2019.2安全补丁(2020年12月23日发布)
  • 2018.4安全补丁(2020年12月23日发布)
  • 2018.2安全补丁(2020年12月23日发布)
 

识别您正在使用的Orion Platform软件的版本, 你可以回顾一下如何检查的说明 在这里 或者参考下面的图片. 要检查你申请了哪些更新,请去 在这里.

 

来自Orion Web控制台 

所有产品版本均显示在Orion Web Console登录页面的页脚. 参见下面的例子 2019.4 HF 4:

 

我们建议您按照下表所示的步骤使用您的太阳风猎户座平台:

 

猎户座平台版本

已知受日暴影响?

已知易受超新星影响?

受数字证书吊销的影响

建议的行动

直接的联系

2020.2.5

NO

NO

NO

不需要行动

不需要行动

2020.2.4

NO

NO

NO

不需要行动 to protect against 的阳光 or 超新星; though 万博体育 recommends you upgrade to 2020.2.5 .解决其他无关的安全漏洞. 更多的信息 在这里.

customerportal.kouluttajafoorumi.net

2020.2.1 HF 2

NO

NO

是的

升级到2020.2.5

customerportal.kouluttajafoorumi.net

2020.2.1 HF 1

NO

是的

是的

升级到2020.2.5

customerportal.kouluttajafoorumi.net

2020.2.1

NO

是的

是的

升级到2020.2.5

customerportal.kouluttajafoorumi.net

2020.2

HF 1

是的

是的

是的

升级到2020.2.5

customerportal.kouluttajafoorumi.net

2020.2

是的

是的

是的

升级到2020.2.5

customerportal.kouluttajafoorumi.net

2019.4.2

NO

NO

NO

不需要行动

不需要行动

2019.4

HF 6

NO

NO

是的

升级到2020.2.5 OR 升级到2019.4.2

customerportal.kouluttajafoorumi.net

2019.4

HF 5

是的

是的

是的

升级到2020.2.5 OR 升级到2019.4.2

customerportal.kouluttajafoorumi.net

2019.4

HF 4

NO

是的

是的

升级到2020.2.5 OR 升级到2019.4.2

customerportal.kouluttajafoorumi.net

2019.4

HF 3

NO

是的

NO

升级到2020.2.5 OR 升级到2019.4.2

customerportal.kouluttajafoorumi.net

2019.4

HF 2

NO

是的

NO

升级到2020.2.5 OR 升级到2019.4.2

customerportal.kouluttajafoorumi.net

2019.4

HF 1

NO

是的

NO

升级到2020.2.5 OR 升级到2019.4.2

customerportal.kouluttajafoorumi.net

2019.4

NO*

是的

NO

升级到2020.2.5 OR 升级到2019.4.2

customerportal.kouluttajafoorumi.net

2019.2

HF 3

NO

是的

NO

升级到2020.2.5 OR 升级到2019.4.2

customerportal.kouluttajafoorumi.net

2019.2

HF 2

NO

是的

NO

升级到2020.2.5 OR 升级到2019.4.2

customerportal.kouluttajafoorumi.net

2019.2

HF 1

NO

是的

NO

升级到2020.2.5 OR 升级到2019.4.2

customerportal.kouluttajafoorumi.net

2019.2

NO

是的

NO

升级到2020.2.5 OR 升级到2019.4.2

customerportal.kouluttajafoorumi.net

2018.4

NO

是的

NO

升级到2020.2.5 OR 升级到2019.4.2

customerportal.kouluttajafoorumi.net

2018.2

NO

是的

NO

升级到2020.2.5 OR 升级到2019.4.2

customerportal.kouluttajafoorumi.net

所有之前的版本

NO

是的

NO

升级到2020.2.5、应用临时缓解脚本,或停止使用

要升级,请转到 customerportal.kouluttajafoorumi.net 或应用临时缓解脚本*** http://downloads.kouluttajafoorumi.net/solarwinds/Support/SupernovaMitigation.zip

 

*作为正在进行的调查的一部分,我们已经确定猎户座平台2019年版.4 应用补丁的于2019年10月发布,包含对代码库的测试修改. 而此版本不受的阳光漏洞的影响, 这是我们目前看到的攻击者的第一个版本. 后续版本2019.4 HF 1, 2019.4 HF 2, 2019.4 HF 3, 2019.4枚HF - 4不包括2019年包含的任何一项试验修改.4版本或2019年包含的的阳光漏洞.4 HF 5, 2020.2 没有热修复补丁 和2020年.2 HF 1.

** 如果您按照上面的图表应用超新星安全补丁,请访问 KB的这篇文章 验证补丁被应用到所有Orion Platform web服务器. 如果您重新安装Orion服务器,您将需要重新应用相应的补丁.

*** 如果您使用超新星缓解脚本来解决超新星漏洞, 使用该包中文档中的指导来确认临时补丁. 请注意,这个脚本只测试到了NPM 11.x. 如果您重新安装Orion服务器,您将需要重新应用此脚本.

所有推荐的升级
当前可用的版本t customerportal.kouluttajafoorumi.net

所有热修复程序更新都是累积的,可以从任何较早的版本安装. 没有必要安装以前发布的热修复更新. 在应用该修补程序之前,您可能需要同步您的许可证. 按以下步骤 在这里 启动您的许可证的同步. 

如果你已经从你的猎户座许可证中禁止了外部通信, 请按照“激活License脱机”部分 在这里. 一旦您成功地同步了您的许可证,请运行安装程序安装修复程序.

为您的猎户座平台安装提供额外的安全, 请遵循现有的指引 在这里 你的猎户座平台实例. 主要的缓解步骤包括将Orion平台安装在防火墙后面, 使猎户座平台无法上网, 并将端口和连接限制在操作平台所需的范围内. 

 

我们要做些什么呢?

我们的主要重点一直是帮助我们的客户保护他们的环境安全. 我们对客户的承诺依然很高,而且我们已经 同时介绍我们推出了一项旨在解决客户所面临问题的新计划.

我们开发了一个项目,提供专业的咨询资源与Orion平台和产品经验,以帮助客户谁需要指导或支持升级到最新的热修复更新. 这些咨询服务将免费提供给我们积极维护Orion Platform产品的客户. 我们希望确保为保护环境而工作的客户能够从知识丰富的资源中获得所需的帮助和帮助. 阅读更多关于该计划的信息 在这里.

我们在调查中继续与领先的安全专家合作,以进一步确保我们的产品和内部系统的安全.

SUMMARY

安全性和对软件的信任是我们对客户承诺的基础. 我们致力推行和维持适当的行政管理, 物理, 和技术保障, 安全流程, 程序, 以及保护我们客户的标准. 

我们对的阳光漏洞的调查和补救工作是早期和持续的. 感谢您一直以来的耐心和合作. 我们会定期更新此安全谘询网页 kouluttajafoorumi.net/securityadvisory,我们鼓励你参阅此网页.




{{静态内容}}
{{CAPTION_TITLE}}

{{CAPTION_CONTENT}}

{{标题}}