就在安全企业相继指出SolarWinds的Orion Platform平台除了被植入Sunburst木马程序以外,也出现了另一个名为Supernova的木马程序之后,SolarWinds在27日发布了官方的安全通知,证实Supernova的存在。
根据安全企业Palo Alto Networks的分析,Supernova为app_web_logoimagehandler.ashx.b6031896.dll的木马版,该DLL文件原本是SolarWinds私有的.NET函数库,作为HTTP API使用,可回应Orion组件的查询,但黑客在该文件中加入了4个新参数,再利用恶意的手法于Orion主机上执行它们。
SolarWinds则解释,Supernova与Sunburst不同,它并非属于供应链攻击,而是放置在一个不需授权就可访问客户网络的服务器上,并伪装成Supernova产品的一部分。Supernova恶意程序由两个组件所组成,其中之一为未经签署、且专为Orion平台撰写的恶意DLL文件,第二个则是利用Orion平台漏洞来部署该恶意DLL文件的开采程序。
由于Supernova与Sunburst的攻击手法大不相同,Sunburst不但具备签章,而且直接进驻了Orion平台构建系统,属于复杂的供应链攻击,而Supernova属于Webshell攻击,且不具签章,使得安全企业推测Orion平台可能同时遭到不同黑客集团的危害。对此,SolarWinds表示,此时该公司对Supernova与Sunburst之间是否有关并无定论,将继续与执法机关及安全企业密切合作以确定答案。
此外,不管是安全企业或SolarWinds都判断,这应是属于外国黑客集团的攻击行动,但SolarWinds说目前尚不确定攻击来源。
值得提醒的是,SolarWinds已发布可防范Supernova及Sunburst攻击的Orion Platform 2019.4 HF6与Orion Platform 2020.2.1 HF2,若无法立即升级,也可下载SolarWinds所提供的暂时修补程序。