正如大多数专家上个月所预测的那样,随着时间的流逝,SolarWinds供应链攻击的后果越来越大,公司有时间审核内部网络和DNS日志。
这个星期,四个新的网络安全厂商- Mimecast,Qualys公司,帕洛阿尔托网络,并 菲德利斯- 增加了他们的名字已经安装了SolarWinds的木马的猎户座版本的应用程序的公司名单。
链接到SOLARWINDS软件的MIMECAST HACK
本周最重要的公告来自电子邮件安全产品供应商Mimecast。
两周前,该公司 披露了一个重大安全漏洞, 在此期间,了其网络,并使用其安全产品之一使用的数字证书来访问其某些客户的Microsoft 365帐户。
在 今天博客的 更新中,Mimecast表示已将此事件与网络上安装的木马版SolarWinds Orion应用程序相关联。
该公司现已确认,SolarWinds是滥用其证书来追随Mimecast客户的人。
QUALYS:这只是一个测试系统
在SolarWinds供应链攻击期间遭到破坏的第二家网络安全公司也于本周在《福布斯》上曝光,该文章涵盖了网络安全公司Netresec的创始人Erik Hjelmvik的研究工作,该公司周一发布了 一份报告, 详细介绍了23个新域,被SolarWinds用来 将第二阶段有效负载部署 到他们认为具有高价值的受感染网络中。
这23个新域中有两个是“ corp.qualys.com”,这表明网络安全审核巨头Qualys可能已成为攻击者的目标。
但是,Qualys在向《福布斯》发表的声明中说,没有看上去的那么大,它声称其工程师在实验室环境中为测试目的在其主要网络之外安装了特洛伊木马版的SolarWinds Orion应用。
Qualys说,随后的调查没有发现进一步恶意活动或数据泄露的任何证据。
但是,尽管Qualys发表了声明,但是一些安全研究人员 并未购买该公司的措辞,这表明“ corp.qualys.com”域暗示了访问了其主要网络,而不是该公司声称的实验室环境。
PALO ALTO NETWORKS披露了2020年9月和2020年的事件
另一个主动透露与SolarWinds相关事件的主要安全供应商是网络安全软件和网络设备的供应商Palo Alto Networks。
Palo Alto Networks在博客中表示,它在2020年9月和2020年10月检测到两个与SolarWinds软件安装有关的安全事件。
“我们的安全运营中心立即隔离了服务器,进行了调查,并验证了我们的基础架构是安全的,” Palo Alto Networks解释说。
但是,该公司表示,当时它已将每个违规行为作为单独的事件进行了调查,并未发现更广泛的供应链攻击。
它对去年9月和10月的进行的调查得出的结论是:“未成功进行尝试的攻击,没有数据受到损害。”
FIDELIS还公开了第二阶段的定位
Fidelis网络安全部门今天 以其首席信息安全官克里斯·库比奇(Chris Kubic)的博客文章的形式发布了第四次也是最新的重大披露 。
这位Fidelis高管表示,他们也于2020年5月安装了SolarWinds Orion应用程序的木马版,作为“软件评估”的一部分。
Kubic说:“软件安装被追溯到一台配置为测试系统的机器,该机器与我们的核心网络隔离,并且很少打开电源。”
Fidelis表示,尽管攻击者已努力提高他们在Fidelis内部网络中的访问权限,但该公司认为测试系统“已被充分隔离,并且供电频率太低,攻击者无法将其带入攻击的下一阶段。”
本周的披露使SolarWinds所针对的网络安全厂商总数达到了8个。先前的披露来自 FireEye (最初发现整个SolarWinds供应链攻击的首次 ), Microsoft(者访问了公司的某些源代码), CrowdStrike (失败)和 Malwarebytes (攻击者访问了公司的某些电子邮件)帐户)。