软件厂商未及时通报客户产品漏洞,全球百余家机构被黑

与SolarWinds事件类似,Accleion入侵同样给供应链漏洞敲响警钟。

与SolarWinds事件类似,Accleion入侵同样给供应链漏洞敲响警钟。

软件厂商未及时通报客户产品漏洞,全球百余家机构被黑

新西兰储备银行行长Adrian Orr表示,Accellion在遭遇黑客攻击后并未第一时间上报。

近期网络犯罪组织FIN11针对美国软件公司Accellion旗下文件共享产品FTA的大规模网络攻击,已导致美国华盛顿州审计署、新西兰储备银行、澳大利亚证券和投资委员会、新加坡电信巨头Singtel等近百家政企机构敏感数据泄露。该事件再次引发了安全专家对供应链攻击的担忧,其中扑朔迷离的响应过程也暴露出及时防御供应链攻击的现实难度。

已经有不少受影响客户披露了被攻击时间表,并强调软件补丁没能像Accellion宣称的那样及时发布到位。有安全专家提到,专为客户处理敏感信息的律师事务所Jones Day已经确认受到影响。换而言之,即使从未使用Accellion软件产品的组织,同样可能遭受此次事件的殃及。

FTI 咨询公司网络安全负责人Anthony J. Ferrante表示,种种实际影响很可能在受害者群体中引发复杂的反应,最终掀起一大波相互指责、相互推诿的法庭群战大戏。曾多次在此类企业诉讼中担任专家证人的Ferrante认为,“一切只是开始,后面的嘴炮大战将不可避免。”

扑朔迷离的漏洞响应时间线

位于美国加州的Accellion公司在1月12号发布的博文上提到,他们于去年(2020年)12月中旬首次发现File Transfer Appliance(FTA)软件中存在安全漏洞。这款软件已经拥有20年历史,专门用于共享大型文档。Accellion表示,“官方已经修复了漏洞,并在72小时内向近50家受影响客户发布了补丁包。”

在今年2月1日发布的更新中,Accellion又强调他们已经于去年12月23日将漏洞消息通报给“所有FTA客户。”

Accellion公司还提到,“事件的开端是对Accellion FTA产品发动的一波有组织攻击,这轮攻势一直持续到2021年1月。”

但一部分受到攻击影响的客户,却给出了完全不同的时间线索。

美国华盛顿州审计署报告称,攻击者可能已经通过FTA工具访问到超过100万失业救济申请者的个人数据。在2月1日的新闻稿中,审计署称“事件的实际上报时间为1月12日。”

审计署发言人Kathleen Cooper在声明中强调,Accellion在“接下来的几周内”才陆续披露更多相关消息,审计署方面也是据此得出上述结论。

新西兰中央银行报告称,本轮攻击导致部分文件失窃。新西兰储备银行在此次违规事件的专项网站上指出,Accellion虽然在去年12月20日就发布了软件补丁,但并没有立即提醒客户的安全团队安装这些补丁。

新西兰储备银行行长Adrian Orr在2月9日的声明中表示,“Accellion并未在5天之内及时对全球客户可能因攻击受到的影响予以通报,也未强调已经存在相关补丁程序可用于阻止事件影响。”

鉴于调查工作仍在继续,该银行一位发言人拒绝做出进一步评论。

大型企业新加坡电信有限公司报告称,轮入侵事件持续达数周,黑客成功窃取到大量数据,包括来自129000名个人客户与23家企业(涵盖供应商与企业客户)的信息。

上周三,新加坡电信表示他们在12月27日之前就已经为Accellion软件安装了一系列补丁。但到今年1月23日,“Accellion紧急通知又发现了新的漏洞,因此之前12月安装的补丁起不到保护作用。”在之后尝试继续更新软件后,新加坡电信的系统中出现了“异常警报”,最终证明确实存在这一安全漏洞。

漏洞曝光就宣布淘汰,老旧产品该如何保障业务连续性?

Accellion公司一位发言人在声明中表示,他们正与外部调查人员合作,共同评估初始黑客攻击活动与新近发现的漏洞。该公司还强调,他们将帮助客户在4月30日之前使用Kiteworks这一相对较新的产品替换掉原有FTA软件,之后也不再提供FTA续订许可证。

网络专家们认为,这种直接淘汰旧有工具的行为,往往代表软件供应商早已悄悄叫停了更新投入

Accellion公司在今年2月1日表示,他们过去三年以来一直鼓励客户们改用Kiteworks,并宣称这款新工具拥有“最新的安全架构、严密的安全开发流程。”但新加坡电信在违规披露网站上提到,Accellion公司直到今年1月28号才明确公布FTA的“终止”日期

Accellion公司发言人拒绝评论以上客户言论,也没有就正式终止FTA一事做出回应。官方仅表示,“在评估完成之后,我们将分享更多信息。”

安全专家们指出,继去年得克萨斯州软件供应商SolarWInds黑客事件影响到至少9家联邦政府机构与100多家私营企业之后,本次事件的曝光彻底激怒了安全审查业界。

负责企业安全状况评估的网络厂商SercurityScorecard有限公司总顾问Sachin Bansal认为,针对Accellion的此次攻击活动“相当于迷你版的SolarWinds事件。”

标准普尔全球市场情报部门451 Research信息安全研究主管Scott Crawford则认为,管理与安全团队应该就软件升级时间表做好协调,避免业务中断并尽可能降低风险。

Crawford总结道,“如今,企业已经高度依赖于第三方供应商。如果不立即给予高度关注,未来一定会闹出更大的麻烦。”

原文链接:

https://www.wsj.com/articles/hack-of-software-provider-accellion-sets-off-global-ripple-effects-11613730601

声明:本文来自互联网安全内参,版权归作者所有。

版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/255.html

发表评论

登录后才能评论
跳至工具栏