SolarWinds Orion(影響を受けるバージョンは2019.4から2020.2.1 HF1)は現在、攻撃者によって悪用されている。これにより攻撃者はネットワークトラフィック管理システムにアクセスしており、影響を受けるデバイスを切断することが現在利用可能な唯一の緩和策となっています。
CISAはSolarWindsの悪用により、連邦民間行政機関に容認できないリスクをもたらし、緊急措置を必要とすると判断しました。なお政府機関はCISAがさらなるガイダンスを提供するまで待機し、パッチを適用してSolarWindsOrionを再インストールする必要があります。
脅威アクターの戦術「Persistence」(敵は足場を固めようとしています。)については、MITRE ATT&CKフレームワークを参照してください。https://attack.mitre.org/tactics/TA0003/
必要なアクション
この緊急指令には、次のアクションが必要です。
- 次のアクションをすぐに実行する専門知識を持っているエージェンシーは、アクション2に進む前に実行しなければなりません。 またこの機能を持たないエージェンシーは、アクション2に進むものとします。
a. SolarWindsOrionバージョン2019.4から2020.2.1HF1のすべてのインスタンスをホストするシステムメモリおよび/またはホストオペレーティングシステムのフォレンジックイメージを取得します。特権またはその他の方法で、新しいユーザーまたはサービスアカウントを分析します。
b. 少数のエージェンシーホスト(SolarWindsシステムなど)が接続している新しい外部DNSドメインなど侵害の兆候がないか保存されているネットワークトラフィックを分析します。 - 影響を受ける機関は、SolarWinds Orion製品、バージョン2019.4から2020.2.1 HF1をネットワークからただちに切断するか、電源を切る必要があります。CISAが影響を受けるエンティティにWindowsオペレーティングシステムを再構築してSolarWindsソフトウェアパッケージを再インストールするように指示するまで、政府機関はWindowsホストOSをエンタープライズドメインに(再)参加することを禁じられています。影響を受けるエンティティは、CISAからのさらなる連絡により、利用可能な製品の最新バージョンを利用して信頼できるソースから再構築する前にガイダンスを待つ必要があります。さらに:
a. SolarWindsOrionソフトウェアの任意のバージョンがインストールされている企業の外部のホストとの間のすべてのトラフィックをブロックします。
b. 脅威アクターが制御するすべてのアカウントと特定された永続性メカニズムを特定して削除します。 - 2020年12月14日月曜日の東部標準時午後12時までに、政府機関はCISA(https://us-cert.cisa.gov/report)に次のいずれかの存在をインシデントとして報告するものとします。
a. [B91ce2fa41029f6955bff20079468448]のファイルハッシュを持つ[SolarWinds.Orion.Core.BusinessLayer.dll]
b. [C:\ WINDOWS \ SysWOW64 \ netsetupsvc.dll]
c. この問題に関連する他の指標はCISAによって共有されます
- すべての脅威アクターが制御するアカウントと特定された永続性メカニズムが削除された後:
a. SolarWinds Orion監視ソフトウェアによって監視されているすべてのホストを脅威アクターによって侵害されたものとして扱い、さらに永続化メカニズムが展開されていると想定します。
b. 信頼できるソースを使用して、SolarWindsOrion監視ソフトウェアによって監視されているホストを再構築します。
c. SolarWindsソフトウェアで使用または保存されているすべての資格情報をリセットします。このような資格情報は危険にさらされていると見なす必要があります。
d. 必要に応じて、または必要に応じて、エンタープライズネットワークからAPTを根絶した経験のあるサードパーティと連携するなど、カーベロアストを修正するためのアクションを実行します。Windows環境の場合は、以下を参照してください。- kerberoastingに関するMicrosoftのドキュメントを参照してください:https://techcommunity.microsoft.com/t5/microsoft-security-and/detecting-ldap-based-kerberoasting-with-azure-atp/ba-p/462448
- サービスプリンシパルアカウントには長くて複雑なパスワード(25文字を超える)の使用を要求し、これらのパスワードに適切なローテーションポリシーを実装します。
- ユーザーアカウントをグループマネージドサービスアカウント(gMSA)に置き換えます。https://docs.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overviewおよびグループマネージドサービスアカウントの実装を参照してください。:https:// docs .microsoft.com / en-us / windows-server / security / group-managed-service-accounts / group-managed-service-accounts-overview
- AES256_CTS_HMAC_SHA1_96をサポートし、DES、RC4、またはAES128ビット暗号化をサポートしないようにサービスアカウントのアカウントオプションを設定します
- ネットワークセキュリティのセキュリティポリシー設定を定義します。Kerberosで許可される暗号化タイプを構成します。許可される暗号化タイプをAES256_HMAC_SHA1および将来の暗号化タイプに設定します。https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-configure-encryption-types-allowed-for-kerberos
- Kerberosチケット付与チケットのパスワードをリセットする方法については、Microsoftのドキュメントを2回参照してください:https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/ad-forest-recovery-resetting- the-krbtgt-password
- kerberoastingに関するMicrosoftのドキュメントを参照してください:https://techcommunity.microsoft.com/t5/microsoft-security-and/detecting-ldap-based-kerberoasting-with-azure-atp/ba-p/462448
- 2020年12月14日月曜日の東部標準時午後12時までに、提供されたテンプレートを使用してCISAにレポートを送信します。部門レベルの最高情報責任者(CIO)または同等の担当者は、影響を受けるデバイスが切断されたか、電源がオフになったことを証明する完了レポートをCISAに提出する必要があります。
これらの要件は、SolarWindsOrion製品を利用するすべての代理店ネットワークに適用されます。これには、代理店情報を収集、処理、保存、送信、配布、またはその他の方法で維持する、代理店に代わって別のエンティティによって使用または運用される情報システムが含まれます。
CISAアクション
- CISAは引き続きパートナーと協力して、この脆弱性に関連する積極的な悪用を監視します。CISAは、侵入の痕跡が利用可能になり次第、追加でリリースします。
- CISAは、CISA Webサイト、緊急指令発行調整コール、および要求に応じた個別の契約(CyberDirectives@cisa.dhs.gov)を介して、政府機関に追加のガイダンスを提供します。
デュレーション
この緊急指令は、すべての機関が次のパッチを適用するか、他の適切な措置によって指令が終了するまで有効です。
追加情報
- 一般的な情報、支援、および報告– CyberDirectives@cisa.dhs.gov
- 潜在的な侵害の兆候の報告– Central@cisa.dhs.gov
よくある質問
よくある質問への回答を以下に示します。
指令は「専門知識」とはどういう意味ですか?
「専門知識」とは、システムメモリのフォレンジックイメージを取得するための適切なトレーニングを受け、すぐに利用できるツールを備えたスタッフまたはサポート担当者がいることを意味します。
