CISA 敦促美国政府机构更新 SolarWinds 版本

美国网络安全和基础设施安全局（CISA）已官方发布声明，督促美国联邦机构在年底之前更新SolarWinds 版本。

CISA发布的《紧急指令21-01补充指南》表示，所有运行SolarWinds Orion应用程序的美国政府机构都必须在年底之前将其更新为2020.2.1HF2最新版本。

SolarWinds在12月15日发布了2020.2.1HF2版本，以确保其安装安全并从其系统中删除与Sunburst相关的代码。《紧急指令21-01补充指南》于在发现SolarWinds供应链攻击后的12月18日发布。

美国CERT协调中心详细介绍了Orion API中的身份验证绕过漏洞，跟踪该漏洞为CVE-2020-10148，这使得黑客可以在Orion安装上执行远程代码。

黑客利用此漏洞在与SolarWinds供应链黑客无关的攻击中安装了后门。

基于此，CISA敦促相关联邦政府机构将SolarWinds Orion更新至2020.2.1HF2版本，以修复包括CVE-2020-10148在内的漏洞。

受影响的版本列表如下：

• Orion Platform 2019.4 HF5 版本2019.4.5200.9083
• Orion Platform 2020.2 RC1 版本2020.2.100.12219
• Orion Platform 2020.2 RC2 版本2020.2.5200.12394
• Orion Platform 2020.2、2020.2 HF1版本2020.2.5300.12432

消息来源：Security Affairs，封面来自网络，译者：江。

本文由 HackerNews.cc 翻译整理。

转载请注明“转自 HackerNews.c