2020 年 12 月 14 日，向美國政府和私營企業(yè)提供網(wǎng)絡(luò)監(jiān)控軟件的 SolarWinds 報告了歷史上最大的網(wǎng)絡(luò)攻擊之一，破壞了多達 18,000 個組織和公司的數(shù)據(jù)。由一個可能由外國政府支持的未知組織發(fā)起的所謂“Sunburst”攻擊始于 2020 年 3 月，并滲透到美國情報和國防組織以及微軟和思科系統(tǒng)等公司。

由于 Sunburst 這么多月都未被發(fā)現(xiàn)，網(wǎng)絡(luò)安全專家仍在評估其影響以及攻擊是否已被完全遏制。前美國國土安全顧問 Thomas P. Bossert警告說，將攻擊者從美國網(wǎng)絡(luò)中驅(qū)逐可能需要數(shù)年時間，同時允許他們繼續(xù)監(jiān)控、破壞或篡改數(shù)據(jù)。雖然很少有人嘗試評估恢復(fù)成本，但肯定會達到數(shù)十億美元。美國參議員理查德·德賓將這次襲擊描述為宣戰(zhàn)。

被利用的漏洞是什么？

黑客利用了 SolarWinds 松懈的安全性。利用的漏洞向量是 FTP 服務(wù)器的弱密碼且可能已泄露。

在 SolarWinds 站穩(wěn)腳跟后，攻擊者修改了 Orion 軟件更新的源代碼，以包含后門惡意軟件，該惡意軟件通過現(xiàn)有的軟件補丁發(fā)布管理系統(tǒng)進行編譯、簽名和交付。被利用的缺陷包括不受信任的開源和第三方軟件、代碼簽名的弱點以及惡意軟件通過軟件開發(fā)生命周期時不正確的代碼完整性檢查。

隨著用戶安裝 SolarWinds Onion 更新木馬，攻擊者獲得了一個后門來進入目標(biāo)網(wǎng)絡(luò)、滲透 Microsoft Office 365 帳戶、偽造安全斷言標(biāo)記語言 (SAML) 令牌以偽裝成合法用戶并濫用單點登錄 (SSO) 聯(lián)合身份驗證機制，以獲取升級權(quán)限和非法訪問其他本地服務(wù)以及云服務(wù)。

避免類似 Sunburst 的黑客入侵的主要方法如下：

通過防止利用軟件分發(fā)漏洞加強開發(fā)系統(tǒng)和更新服務(wù)器安全

通過禁止惡意軟件訪問攻擊者的 C2（命令和控制）渠道并限制憑據(jù)濫用來降低組織軟件供應(yīng)鏈風(fēng)險。

PUF 如何防止類似 Sunburst 的攻擊

信任根 (RoT) 是在硬件中實現(xiàn)的一組功能，始終受設(shè)備操作系統(tǒng)的信任。它包含用于加密功能的密鑰并啟用安全啟動過程。可信平臺模塊 (TPM) 是 RoT 的一個示例。美國國防部 (DoD) 要求其新的計算機資產(chǎn)包括 TPM 1.2 或更高版本。DoD 旨在使用 TPM 進行設(shè)備識別、身份驗證、加密和設(shè)備完整性驗證。

物理不可克隆功能 (PUF) 可以進一步增強 RoT 安全性。PUF 是一種物理定義的“指紋”，用作半導(dǎo)體的唯一身份，具有防篡改特性，可用于安全認(rèn)證。RoT 最安全的實現(xiàn)是在硬件中，它可以免受惡意軟件攻擊。因此，基于芯片的PUF可以為安全提供堅實的基礎(chǔ)。

我們相信，PUF 將在減輕類似 Sunburst 的黑客攻擊方面發(fā)揮關(guān)鍵作用，這要歸功于它們執(zhí)行數(shù)字認(rèn)證和身份認(rèn)證的能力。基于 PUF 的 RoT 可以通過以下方式發(fā)揮關(guān)鍵作用：

防止未經(jīng)授權(quán)訪問軟件開發(fā)系統(tǒng)和服務(wù)器?；?PUF 的 RoT 解決方案可以與 Microsoft 身份驗證協(xié)議（例如 NetLogon）或其他無密碼開放身份驗證標(biāo)準(zhǔn)（如 FIDO（快速在線身份驗證））一起使用，并促進基于使用身份驗證密鑰對的簽名創(chuàng)建的更強大的多因素身份驗證。

即使在開發(fā)人員的平臺上也能確保源代碼的完整性。黑客進入 SolarWinds 的系統(tǒng)及其開發(fā)者平臺，將木馬嵌入到其代碼庫中。如果為版本控制部署了完整性檢查，SolarWinds 工程師可能會發(fā)現(xiàn)他們的代碼已被更改?？梢杂么a標(biāo)記 PUF 密鑰以創(chuàng)建散列摘要以確保源代碼的完整性。

確保更新程序的機密性和完整性。一旦保證了代碼庫的完整性，就保證了最終程序的完整性。然后，通過OTA（online-trust-architecture）更新用戶的程序，需要對程序進行加密和哈希處理，以便用戶接收到正確的程序。啟用 PUF 的芯片安全邊界內(nèi)的加密引擎可以生成密鑰以執(zhí)行加密和完整性功能。

我們可以防范未來的攻擊嗎？

很明顯，傳統(tǒng)的基于軟件的安全解決方案在檢測或緩解 Sunburst 攻擊方面是無效的。我們提倡更有效的模式。

PUF 可以為安全基礎(chǔ)提供不可偽造的用戶身份和憑證、強大的身份驗證和用于代碼簽名的密鑰，以及安全啟動、更新和訪問控制等功能。根據(jù) ENISA 的物聯(lián)網(wǎng)安全指南，PUF 被推薦為一項關(guān)鍵技術(shù)。PUF 預(yù)計將提供強大的 RoT 作為安全措施（例如，固件簽名或安全啟動）的基礎(chǔ)，以及明確的設(shè)備識別/身份驗證以確保給定芯片/設(shè)備是真實的。PUFsecurity 提供了我們的 NeoPUF 技術(shù)作為 RoT 解決方案，以保護 IoT 供應(yīng)鏈。在這個堅實的基礎(chǔ)上，我們樂觀地認(rèn)為，軟件供應(yīng)鏈的增強型 PUF 解決方案可以抵御未來類似 Sunburst 的攻擊。

我們希望 SolarWinds 黑客攻擊能夠推動根本性改革。盡管互聯(lián)網(wǎng)技術(shù)呈指數(shù)級增長，但安全措施的發(fā)展通常是事后才考慮的。我們提倡對黑客進行多層次的防御，包括更好的管理實踐、改進的軟件安全性和硬件級別的重要保護措施。我們公司 PUFsecurity 多年來一直專注于這些威脅，并提供了一系列可以整合到其他公司芯片中的知識產(chǎn)權(quán)。

參考：

高度規(guī)避的攻擊者利用 SolarWinds 供應(yīng)鏈通過 SUNBURST 后門危害多個全球受害者 火眼公司

SolarWinds Sunburst 攻擊：您需要知道什么以及如何保持保護 – Check Point 軟件

近期 Sunburst 目標(biāo)攻擊概述 (trendmicro.com)

SunBurst：下一個級別的隱身 (reversinglabs.com)

Hsu, Charles，“A Must for AI/IOT Era PUF based Hardware Security”，第 30屆VLSI Design/CAD Symposium的主題演講，2019 年 8 月 8 日。

PUF：人工智能和物聯(lián)網(wǎng)的關(guān)鍵技術(shù)（design-reuse.com）

由芯片運行，由芯片保護 – NeoPUF 解決方案的硬件安全 (design-reuse.com)

ENISA，“物聯(lián)網(wǎng)安全指南：物聯(lián)網(wǎng)安全供應(yīng)鏈”，2020 年 11 月

審核編輯 黃昊宇