SolarWinds網路IT服務臺漏洞遭到利用,駭客搭配鑑識工具控制受害主機
事件背景
微軟與威脅情報公司Huntress提出警告,他們發現有人鎖定SolarWinds的網路IT服務臺Web Help Desk(WHD)下手,於受害組織部署名為Zoho ManageEngine的遠端管理工具(RMM)建立存取管道,最終於被滲透的主機植入了數位鑑識與事件回應(DFIR)工具Velociraptor。
攻擊流程
駭客首先透過Web Help Desk(WHD)取得受害組織的初期存取管道,隨後橫向移動到網路環境的其他系統,並執行多階段攻擊活動。
相關漏洞與修補
- 資安防護廠商SolarWinds近日發布重要安全更新,修復了其廣為使用的IT服務管理工具Web Help Desk (WHD) 中的多個嚴重安全漏洞。
- 本次修補涵蓋4個重大資安漏洞,CVSS評分達9.8,屬於極高風險。
後續影響
此類攻擊活動顯示,針對IT服務臺的漏洞利用,可能導致駭客深入組織內部並長期滲透,進而影響營運與資料安全。