SolarWinds SUNBURST マルウェアとCato Cloud

2020年12月13日（日曜日）、FireEyeは情報を公開しました これはSolarWindsサプライチェーンにおける極めて難解な攻撃に関連しています。 SolarWindsは、サイバー攻撃の被害者であり、マルウェア（SUNBURST）がSolarWinds Orion プラットフォームに挿入されました。

Cato Networksは顧客に対し、次のガイドラインを推奨します：

• 12月21日現在、Cato CloudおよびCato CorporateはSUNBURSTマルウェアの影響を受けていません。 私たちはこのインシデントを、公開およびプライベートチャンネルの両方で注意深く監視しています。
• SolarWinds OrionプラットフォームがインストールされているCatoのお客様には、SolarWindsセキュリティ勧告に従うことを強く推奨します。 SolarWindsは、ダウンロードサイトから悪意のあるソフトウェアビルドを削除し、Orionプラットフォームのバージョン2020.2.1 HF 2へのアップグレードを推奨しています。

Orionプラットフォームにアクセスする、またはそれによって使用された識別に関連するすべての資格情報を変更することも推奨されます。

• Catoアンチマルウェアおよび次世代アンチマルウェアを使用しているCatoのお客様は、SUNBURSTのペイロードダウンロードから保護されています。
• Cato IPSは、最新の妥協された指標(IoC)で更新されており、SUNBURST C&C通信をブロックします。
• Cato MDR（マネージド検出および応答）は、脅威ハンティング機能を使用して、SUNBURSTのような未知の脅威を特定します。 SUNBURSTはリモート操作が必要なバックドアであり、Cato MDRサービスは顧客のネットワーク内での横方向移動活動を監視します。
• Cato セキュリティ管理者グループは、SUNBURST マルウェアに関連するネットワークIoCを Cato 顧客のネットワークで監視し、関連するIoCへのどのようなアクセス権限でも可能と顧客に通知します。

SUNBURST マルウェアやCato Cloudの詳細は、このCatoブログ記事をお読みください。