软件厂商未及时通报客户产品漏洞，全球百余家机构被黑

新西兰储备银行行长Adrian Orr表示，Accellion在遭遇黑客攻击后并未第一时间上报。

近期网络犯罪组织FIN11针对美国软件公司Accellion旗下文件共享产品FTA的大规模网络攻击，已导致美国华盛顿州审计署、新西兰储备银行、澳大利亚证券和投资委员会、新加坡电信巨头Singtel等近百家政企机构敏感数据泄露。该事件再次引发了安全专家对供应链攻击的担忧，其中扑朔迷离的响应过程也暴露出及时防御供应链攻击的现实难度。

已经有不少受影响客户披露了被攻击时间表，并强调软件补丁没能像Accellion宣称的那样及时发布到位。有安全专家提到，专为客户处理敏感信息的律师事务所Jones Day已经确认受到影响。换而言之，即使从未使用Accellion软件产品的组织，同样可能遭受此次事件的殃及。

FTI 咨询公司网络安全负责人Anthony J. Ferrante表示，种种实际影响很可能在受害者群体中引发复杂的反应，最终掀起一大波相互指责、相互推诿的法庭群战大戏。曾多次在此类企业诉讼中担任专家证人的Ferrante认为，“一切只是开始，后面的嘴炮大战将不可避免。”

位于美国加州的Accellion公司在1月12号发布的博文上提到，他们于去年（2020年）12月中旬首次发现File Transfer Appliance（FTA）软件中存在安全漏洞。这款软件已经拥有20年历史，专门用于共享大型文档。Accellion表示，“官方已经修复了漏洞，并在72小时内向近50家受影响客户发布了补丁包。”

在今年2月1日发布的更新中，Accellion又强调他们已经于去年12月23日将漏洞消息通报给“所有FTA客户。”

Accellion公司还提到，“事件的开端是对Accellion FTA产品发动的一波有组织攻击，这轮攻势一直持续到2021年1月。”

但一部分受到攻击影响的客户，却给出了完全不同的时间线索。

美国华盛顿州审计署报告称，攻击者可能已经通过FTA工具访问到超过100万失业救济申请者的个人数据。在2月1日的新闻稿中，审计署称“事件的实际上报时间为1月12日。”

审计署发言人Kathleen Cooper在声明中强调，Accellion在“接下来的几周内”才陆续披露更多相关消息，审计署方面也是据此得出上述结论。

新西兰中央银行报告称，本轮攻击导致部分文件失窃。新西兰储备银行在此次违规事件的专项网站上指出，Accellion虽然在去年12月20日就发布了软件补丁，但并没有立即提醒客户的安全团队安装这些补丁。

新西兰储备银行行长Adrian Orr在2月9日的声明中表示，“Accellion并未在5天之内及时对全球客户可能因攻击受到的影响予以通报，也未强调已经存在相关补丁程序可用于阻止事件影响。”

鉴于调查工作仍在继续，该银行一位发言人拒绝做出进一步评论。

大型企业新加坡电信有限公司报告称，本轮入侵事件持续达数周，黑客成功窃取到大量数据，包括来自129000名个人客户与23家企业（涵盖供应商与企业客户）的信息。

上周三，新加坡电信表示他们在12月27日之前就已经为Accellion软件安装了一系列补丁。但到今年1月23日，“Accellion紧急通知又发现了新的漏洞，因此之前12月安装的补丁起不到保护作用。”在之后尝试继续更新软件后，新加坡电信的系统中出现了“异常警报”，最终证明确实存在这一安全漏洞。

Accellion公司一位发言人在声明中表示，他们正与外部调查人员合作，共同评估初始黑客攻击活动与新近发现的漏洞。该公司还强调，他们将帮助客户在4月30日之前使用Kiteworks这一相对较新的产品替换掉原有FTA软件，之后也不再提供FTA续订许可证。

网络专家们认为，这种直接淘汰旧有工具的行为，往往代表软件供应商早已悄悄叫停了更新投入。

Accellion公司在今年2月1日表示，他们过去三年以来一直鼓励客户们改用Kiteworks，并宣称这款新工具拥有“最新的安全架构、严密的安全开发流程。”但新加坡电信在违规披露网站上提到，Accellion公司直到今年1月28号才明确公布FTA的“终止”日期。

Accellion公司发言人拒绝评论以上客户言论，也没有就正式终止FTA一事做出回应。官方仅表示，“在评估完成之后，我们将分享更多信息。”

安全专家们指出，继去年得克萨斯州软件供应商SolarWInds黑客事件影响到至少9家联邦政府机构与100多家私营企业之后，本次事件的曝光彻底激怒了安全审查业界。

负责企业安全状况评估的网络厂商SercurityScorecard有限公司总顾问Sachin Bansal认为，针对Accellion的此次攻击活动“相当于迷你版的SolarWinds事件。”

标准普尔全球市场情报部门451 Research信息安全研究主管Scott Crawford则认为，管理与安全团队应该就软件升级时间表做好协调，避免业务中断并尽可能降低风险。

Crawford总结道，“如今，企业已经高度依赖于第三方供应商。如果不立即给予高度关注，未来一定会闹出更大的麻烦。”

转载微信：security_xc

翻译供稿：security4

投稿邮箱：[email protected]