در یک هفته گذشته در پی حملات سایبری گسترده و در جریان حملاتی پیچیده، شرکت امنیتی فایرآی (FireEye) و وزارت خزانهداری ایالات متحده و احتمالا بسیاری از شرکتها و سازمانهای معروف دیگر توسط گروهی از مهاجمان هک شدند.
با توجه به گزارشات ارسالی پلیس فتا در تاریخ 3 شنبه ۲۵ آذرماه ۱۳۹۹، اکنون مشخص شده که پیشتر این مهاجمان با رخنه به سولار ویندز (SolarWinds) موفق به تزریق کد آلوده به یکی از محصولات ساخت این شرکت با نام Orion Platform شده بودند و از طریق نرمافزار مذکور زمینه را برای نفوذ به بیش از ۱۸ هزار مشتری آن محصول از جمله شرکتها و سازمانهایی که در روزهای اخیر هک شدند، فراهم کرده بودند. این روش حمله به زنجیره (Supply Chain Attack) معروف است.
نفوذ زنجیره تأمین (Supply Chain Attack) چیست؟
Supply Chain Attack یک حمله سایبری است که با هدف قرار دادن عناصر با امنیت پایین تر در شبکه، به کل سازمان آسیب می رساند. در واقع در این حملات، مهاجمان با بهرهجویی از اجزای آسیبپذیر در زنجیره یک سازمان به آن رخنه و یا آن را دچار اختلال میکنند.
به عنوان مثال ، در سال ۲۰۱۳، شرکت Target با این نوع حمله مواجه شد که باعث شد با ورود بدافزار به سیستم فروش آنها، حدود ۴۰ میلیون اطلاعات کارتهای اعتباری و کارت های بانکی مشتریان آنها در بیش از ۱۸۰۰ شعبه مختلف این فروشگاه، ، به بیرون درز کند. اگرچه رسماً تأیید نشده است ، اما اعتقاد بر این است که مجرمان و هکرهای اینترنتی با استفاده از اعتبارنامه های دزدیده شده از Fazio Mechanical Services ، (ارائه دهنده سیستم های HVAC در پنسیلوانیا ) به شبکه Target نفوذ کرده اند.
نقاط آسیب پذیری Orion Platform
وزارت امنیت داخله ایالات متحده با انتشار یک بخشنامه
اضطراری از تمامی سازمانهای فدرال این کشور خواسته تا بهسرعت نسبت به قطع ارتباط
نسخ آسیبپذیر Orion Platform اقدام
کنند.
هفته گذشته فایرآی اعلام کرد که مهاجمان موفق به سرقت
ابزارهایی دیجیتال شدهاند که این شرکت از آنها با عنوان
Red Team یاد میکند. فایرآی از ابزارهای Red Team بهمنظور شناسایی آسیبپذیری
سیستمها در شبکه مشتریان خود استفاده میکرده است. در آن زمان این احتمال مطرح
شده بود که هدف مهاجمان از آن حمله، سرقت ابزارهای
Red Team و استفاده از آنها در حملات آتی خود بوده
باشد. اما حال به نظر میرسد که مهاجمان در پی رسیدن به مقاصدی مهمتر بودهاند و
دامنه حملات آنها بسیار گستردهتر از آنچه قبلا تصور میشد بوده است.
انتظار میرود در روزها، هفتهها و حتی شاید ماههای آتی
ابعادی دیگر از یکی از کمنظیرترین حملات سایبری روشن شود.
Vulmon، موتور جستجوی حفره های امنیتی و نقاط آسیب پذیری های شبکه با استفاده از هوش مصنوعی می باشد که لیستی از آسیب پذیری ها را براساس اقدامات منتشر شده توسط FireEye تهیه کرده است.
در ادامه لیست نقاط آسیب پذیری که می بایست در هر شبکه ای مورد بررسی قرار گرفته و اصلاح آورده شده است. همچنین این موارد اکیدا می بایست توسط مشتریانی که سیستم های خود را به روزرسانی نمی کنند، هرچه سریعتر انجام شود.
CVE-2019-11510: Pulse Secure Pulse Connect Secure unauthenticated path traversal
CVE-2020-1472: Microsoft Active Directory privilege escalation vulnerability is also known as Zerologon
CVE-2018-13379: Fortinet Fortigate SSL VPN unauthenticated path traversal
CVE-2018-15961: Adobe ColdFusion remote code execution vulnerability
CVE-2019-0604: Microsoft SharePoint remote code execution vulnerability
CVE-2019-0708: Microsoft Windows Remote Desktop Services (RDS) remote code execution vulnerability also known as BlueKeep
CVE-2019-11580: Atlassian Crowd remote code execution vulnerability
CVE-2019-19781: Citrix Application Delivery Controller and Citrix Gateway remote code execution vulnerability
CVE-2020-10189: RCE for Zoho ManageEngine Desktop Central remote code execution vulnerability
CVE-2014-1812: Microsoft Windows local privilege escalation
CVE-2019-3398: Atlassian Confluence authenticated remote code execution
CVE-2020-0688: Microsoft Exchange remote code execution
CVE-2016-0167: Local privilege escalation on older versions of Microsoft Windows
CVE-2017-11774: Remote code execution in Microsoft Outlook via specially crafted URI (phishing) also known as Microsoft Outlook Security Feature Bypass Vulnerability
CVE-2018-8581: Microsoft Exchange Server elevation of privilege vulnerability
CVE-2019-8394: Zoho ManageEngine ServiceDesk Plus (SDP) unauthenticated file upload
مشتریان SolarWinds Orion چه اقدامات امنیتی می بایست انجام دهند؟
کارشناسان معاونت بررسی مرکز مدیریت راهبردی فتا، توصیه می کنند تا کارشناسان IT دستگاههای زیرساخت را در کوتاهترین زمان ممکن، با استفاده از محصولات ضدویروس و ابزارهای امنیتی، جهت بررسی وجود هر گونه نشانه آلودگی بررسی کنند.
دستگاههای زیرساخت همچنین، باید با انجام بررسی دقیق، فراگیر و جامع امنیتی، زیرساختهای فیزیکی و ابری را بازبینی و مقاومسازی کنند.
متخصصان IT زیرساختهای کشور، باید در اسرع وقت نسبت به جدا کردن هر سیستمی که بر روی آن ورژن ۲۰۱۹٫۴ HF 5, 2020.2 تا ۲۰۲۰٫۲ HF 1 محصول SolarWinds Orion Platform نصب است اقدام کنند. این نسخ در فاصله مارس ۲۰۲۰ تا ژوئن ۲۰۲۰ عرضه شده بودند.
کارشناسان معاونت بررسی مرکز افتا از متخصصان IT در زیرساختها خواستهاند تا در نخستین فرصت،SolarWinds Orion Platform را به نسخه 2020.2.1 HF 1 ارتقا داده و پس از اطمینان از عدم وجود هر گونه آلودگی، سیستمها را به حالت قبل بازگردانند.
همچنین مستندات سولار ویندز در خصوص رخداد اخیر در لینک زیر قابل دریافت می باشد: