CISA 称SolarWinds黑客或通过密码猜测攻陷目标，CISA 前局长受聘

上个月，CISA 在针对 SolarWinds 事件的首份安全公告中指出，目前正在调查黑客攻陷了并未运行 SolarWinds Orion 软件的目标的案件。

虽然当时并未披露相关调查详情，但上周在调查进展公告中指出，CISA 最终确定 SolarWinds 黑客还通过密码猜测和密码喷射作为初始访问向量。

上周三，CISA 表示，”CISA 事件响应调查已查明，某些案件中的初始访问权限是通过密码猜测、密码喷射和管理凭据的安全性保护不力因而遭外部远程访问服务而被获取的。“

CISA 指出，一旦威胁者（CISA认为源自俄罗斯）获得对内部网络或云基础设施的访问权限后，就将权限提升至管理员级别，继而伪造认证令牌 (OAuth)，访问公司网络内部其它本地资源或云托管资源，而无需提供任何有效凭证或解决多因素认证挑战。

为了帮助受害者处理这些“到云“的提权情况，CISA 还发布了第二次安全公告，给出了如何搜索微软提供的云设置，查找该黑客组织的活动并修复服务器。CISA 指出，该指南并非考虑黑客用于控制云资源的初始访问向量，且即使初始访问权限是木马化的 Orion app 或密码猜测/喷射攻击，也应该应用该指南。该指南还提供了CISA去年发布的一款工具 Sparrow，以帮助受害者检测 Azure Microsoft 365 环境中可能存在的受陷账户和应用。另外，CrowdStrike 公司也发布了一款类似工具 CST。

SolarWinds 公司聘请在2020年11月遭特朗普解雇的CISA前局长 Chris Krebs 作为独立的安全顾问，与斯坦福教授兼 Facebook 前首席安全官 Alex Stamos 一起修复攻击造成的损害并提升该公司的安全性。

SolarWinds 公司总裁兼CEO Sudhakar Ramakrishna 上个月刚刚上任，他给出了关于该网络攻击的规划后，聘请了上述两人。他在一篇博客中指出，“我们已聘请多名顶级的网络安全专家协助我们开展调查，我将对客户、政府合作伙伴和公众在长短期安全增强方面秉持透明的态度，确保我们能够继续维护对我们而言最珍贵的东西，那就是你们的信任。”