Security

我能否確定日期為 2019 年 4 月的 SolarWinds TFTP 伺服器是否受到威脅?

  • December 22, 2020

SolarWinds由於其伺服器遭到黑客攻擊而成為新聞。目前尚不清楚妥協可以追溯到多遠。我從他們那裡使用的唯一產品是他們的免費 TFTP 伺服器。是否記錄了妥協的“指紋”,以便確定特定下載是否受到影響?現在可以使用商業病毒/惡意軟體掃描程序檢測到受損文件嗎?

SolarWinds 網路攻擊是一次供應鏈攻擊。民族國家威脅參與者獲得了對 SolarWinds Orion 建構系統的訪問權限,並為合法 Orion DLL 添加了後門,即SolarWinds.Orion.Core.BusinessLayer.dll. 然後,該 DLL 通過用於推出新軟體更新的自動更新平台分發給 SolarWinds 客戶。此 DLL 由SolarWinds.BusinessLayerHost.exe. 免費的 SolarWinds TFTP Server 不使用此更新機制。

迄今為止,SolarWinds 並未將免費 TFTP 伺服器列為已洩露的伺服器。有關詳細資訊,請參閱https://www.solarwinds.com/securityadvisory

IOC 可以在https://github.com/sophos-cybersecurity/solarwinds-threathunt和其他地方找到。

引用自:https://serverfault.com/questions/1047202