米国のCybersecurity and Infrastructure Security Agency (CISA)は12月17日(米国時間)、米SolarWindsが提供するネットワーク製品「Orion Platform」が政府機関などへのサイバー攻撃に悪用されているとして、セキュリティアラート「Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations」(AA20-352A)を公開した。

アラートによれば、サイバー犯罪グループはOrion Platformのアップデート機能を悪用してトロイの木馬型マルウェアを埋め込み、それをサイバー攻撃に悪用しているという。

  • Advanced Persistent Threat Compromise of Government Agencies、Critical Infrastructure、and Private Sector Organizations|CISA

    Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations | CISA

このアラートに先立って、CISAでは12月13日に関係機関に対して「cyber.dhs.gov - Emergency Directive 21-01」(ED21-01)を発令している。また、同12月19日にはAA20-352Aを更新して追加情報を掲載するとともに、ED21-01に対する補足のガイダンスも公開した。

このガイダンスでは、影響を受けるデバイスを当初公開した範囲よりも詳細に特定した上で、対象デバイスをネットワークから切断するなどの関係機関が取るべき行動が示されている。現時点で判明している範囲では、次のバージョンがこの攻撃の影響を受けると見なされている。

  • Orion Platform 2019.4 HF5, version 2019.4.5200.9083
  • Orion Platform 2020.2 RC1, version 2020.2.100.12219
  • Orion Platform 2020.2 RC2, version 2020.2.5200.12394
  • Orion Platform 2020.2, 2020.2 HF1, version 2020.2.5300.12432

上記以外の影響を受けてないバージョンは、追加のガイダンスで示されている条件を満たす場合においてのみ、ネットワークへの再接続が可能になるとしている。また、ED21-01ではSolarWinds Orionのソフトウェアに対してパッチをインストールしないように規定しているが、これを緩和するかどうかは12月19日時点ではまだ評価している途中だという。

AA20-352AおよびED21-01に関する参考情報は、CISAの次の記事にまとめられている。

CISAでは、SolarWinds Orionに対する侵害に関する追加情報について、引き続き確認するよう呼びかけている。