美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）已官方發(fā)布聲明，督促美國聯(lián)邦機(jī)構(gòu)在年底之前更新SolarWinds?版本。

CISA發(fā)布的《緊急指令21-01補(bǔ)充指南》表示，所有運(yùn)行SolarWinds Orion應(yīng)用程序的美國政府機(jī)構(gòu)都必須在年底之前將其更新為2020.2.1HF2最新版本。

SolarWinds在12月15日發(fā)布了2020.2.1HF2版本，以確保其安裝安全并從其系統(tǒng)中刪除與Sunburst相關(guān)的代碼?！毒o急指令21-01補(bǔ)充指南》于在發(fā)現(xiàn)SolarWinds供應(yīng)鏈攻擊后的12月18日發(fā)布。

美國CERT協(xié)調(diào)中心詳細(xì)介紹了Orion API中的身份驗(yàn)證繞過漏洞，跟蹤該漏洞為CVE-2020-10148，這使得黑客可以在Orion安裝上執(zhí)行遠(yuǎn)程代碼。

黑客利用此漏洞在與SolarWinds供應(yīng)鏈黑客無關(guān)的攻擊中安裝了后門。

基于此，CISA敦促相關(guān)聯(lián)邦政府機(jī)構(gòu)將SolarWinds Orion更新至2020.2.1HF2版本，以修復(fù)包括CVE-2020-10148在內(nèi)的漏洞。

受影響的版本列表如下：

Orion Platform 2019.4 HF5 版本2019.4.5200.9083

Orion Platform 2020.2 RC1 版本2020.2.100.12219

Orion Platform 2020.2 RC2 版本2020.2.5200.12394

Orion Platform 2020.2、2020.2 HF1版本2020.2.5300.12432

?

消息來源：Security Affairs，封面來自網(wǎng)絡(luò)，譯者：江。

本文由?HackerNews.cc?翻譯整理。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/