SolarWinds Sunburst
SolarWinds Sunburst とは何ですか?
SolarWinds Sunburst2020 年に発覚したサプライチェーン攻撃で、SolarWinds Orion の更新に Sunburst バックドアが仕込まれ、米国政府機関とグローバル企業が侵害された。
Sunburst は 2020 年 3 月から 6 月にかけて SolarWinds Orion IT 管理プラットフォームに埋め込まれたトロイ化バックドアで、FireEye が 2020 年 12 月に検出しました。攻撃者は SolarWinds のビルドパイプラインを侵害し、正規に署名された Orion 更新に悪意あるコードを混入させ、約 18,000 組織に配信されました。その中で、米財務省・商務省・司法省・国土安全保障省、FireEye、Microsoft などには TEARDROP や Cobalt Strike による追加侵害が行われました。米当局はこのキャンペーンを UNC2452 / APT29(ロシア対外情報庁)に帰属させました。本事件は SBOM や署名付きビルドなど、ソフトウェアサプライチェーンセキュリティの大規模な改革を促進しました。
● 例
- 01
Orion サーバーが avsvmcloud.com にビーコンを送り、第 2 段階の Cobalt Strike ペイロードを受け取る。
- 02
被害機関はクリーンメディアから Orion を再構築し、すべての SAML 署名証明書をローテーションする。
● よくある質問
SolarWinds Sunburst とは何ですか?
2020 年に発覚したサプライチェーン攻撃で、SolarWinds Orion の更新に Sunburst バックドアが仕込まれ、米国政府機関とグローバル企業が侵害された。 サイバーセキュリティの 脆弱性 カテゴリに属します。
SolarWinds Sunburst とはどういう意味ですか?
2020 年に発覚したサプライチェーン攻撃で、SolarWinds Orion の更新に Sunburst バックドアが仕込まれ、米国政府機関とグローバル企業が侵害された。
SolarWinds Sunburst はどのように機能しますか?
Sunburst は 2020 年 3 月から 6 月にかけて SolarWinds Orion IT 管理プラットフォームに埋め込まれたトロイ化バックドアで、FireEye が 2020 年 12 月に検出しました。攻撃者は SolarWinds のビルドパイプラインを侵害し、正規に署名された Orion 更新に悪意あるコードを混入させ、約 18,000 組織に配信されました。その中で、米財務省・商務省・司法省・国土安全保障省、FireEye、Microsoft などには TEARDROP や Cobalt Strike による追加侵害が行われました。米当局はこのキャンペーンを UNC2452 / APT29(ロシア対外情報庁)に帰属させました。本事件は SBOM や署名付きビルドなど、ソフトウェアサプライチェーンセキュリティの大規模な改革を促進しました。
SolarWinds Sunburst からどのように防御しますか?
SolarWinds Sunburst に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
SolarWinds Sunburst の別名は何ですか?
一般的な別名: UNC2452, Solorigate, Sunburst バックドア。