در یک هفته گذشته در پی حملات سایبری گسترده و در جریان حملاتی پیچیده، شرکت امنیتی فایرآی (FireEye) و وزارت خزانه‌داری ایالات متحده و احتمالا بسیاری از شرکت‌ها و سازمان‌های معروف دیگر توسط گروهی از مهاجمان هک شدند.
با توجه به گزارشات ارسالی پلیس فتا در تاریخ  3 شنبه ۲۵ آذرماه ۱۳۹۹، اکنون مشخص شده که پیش‌تر این مهاجمان با رخنه به سولار ویندز (SolarWinds) موفق به تزریق کد آلوده به یکی از محصولات ساخت این شرکت با نام Orion Platform شده بودند و از طریق نرم‌افزار مذکور زمینه را برای نفوذ به بیش از ۱۸ هزار مشتری آن محصول از جمله شرکت‌ها و سازمان‌هایی که در روزهای اخیر هک شدند، فراهم کرده بودند. این روش حمله به زنجیره (Supply Chain Attack) معروف است.

• 

نفوذ زنجیره تأمین (Supply Chain Attack) چیست؟

Supply Chain Attack یک حمله سایبری است که با هدف قرار دادن عناصر با امنیت پایین تر در شبکه، به کل سازمان آسیب می رساند. در واقع در این حملات، مهاجمان با بهره‌جویی از اجزای آسیب‌پذیر در زنجیره یک سازمان به آن رخنه و یا آن را دچار اختلال می‌کنند.

به عنوان مثال ، در سال ۲۰۱۳، شرکت Target با این نوع حمله مواجه شد که باعث شد با ورود بدافزار به سیستم فروش آنها، حدود ۴۰ میلیون اطلاعات کارتهای اعتباری و کارت های بانکی مشتریان آنها در بیش از ۱۸۰۰ شعبه مختلف این فروشگاه، ، به بیرون درز کند. اگرچه رسماً تأیید نشده است ، اما اعتقاد بر این است که مجرمان و هکرهای اینترنتی با استفاده از اعتبارنامه های دزدیده شده از Fazio Mechanical Services ، (ارائه دهنده سیستم های HVAC در پنسیلوانیا ) به شبکه Target نفوذ کرده اند.

نقاط آسیب پذیری Orion Platform

وزارت امنیت داخله ایالات متحده با انتشار یک بخشنامه اضطراری از تمامی سازمان‌های فدرال این کشور خواسته تا به‌سرعت نسبت به قطع ارتباط نسخ آسیب‌پذیر Orion Platform اقدام کنند.
هفته گذشته فایرآی اعلام کرد که مهاجمان موفق به سرقت ابزارهایی دیجیتال شده‌اند که این شرکت از آنها با عنوان Red Team یاد می‌کند. فایرآی از ابزارهای Red Team به‌منظور شناسایی آسیب‌پذیری سیستم‌ها در شبکه مشتریان خود استفاده می‌کرده است. در آن زمان این احتمال مطرح شده بود که هدف مهاجمان از آن حمله، سرقت ابزارهای Red Team و استفاده از آنها در حملات آتی خود بوده باشد. اما حال به نظر می‌رسد که مهاجمان در پی رسیدن به مقاصدی مهم‌تر بوده‌اند و دامنه حملات آنها بسیار گسترده‌تر از آن‌چه قبلا تصور می‌شد بوده است. 
انتظار می‌رود در روزها، هفته‌ها و حتی شاید ماه‌های آتی ابعادی دیگر از یکی از کم‌نظیرترین حملات سایبری روشن شود.

Vulmon، موتور جستجوی حفره های امنیتی و نقاط آسیب پذیری های شبکه با استفاده از هوش مصنوعی می باشد که لیستی از آسیب پذیری ها را براساس اقدامات منتشر شده توسط FireEye تهیه کرده است.

در ادامه لیست نقاط آسیب پذیری که می بایست در هر شبکه ای مورد بررسی قرار گرفته و اصلاح آورده شده است. همچنین این موارد اکیدا می بایست توسط مشتریانی که سیستم های خود را به روزرسانی نمی کنند،  هرچه سریعتر انجام شود.

CVE-2019-11510: Pulse Secure Pulse Connect Secure unauthenticated path traversal

CVE-2020-1472: Microsoft Active Directory privilege escalation vulnerability is also known as Zerologon

CVE-2018-13379: Fortinet Fortigate SSL VPN unauthenticated path traversal

CVE-2018-15961: Adobe ColdFusion remote code execution vulnerability

CVE-2019-0604: Microsoft SharePoint remote code execution vulnerability

CVE-2019-0708: Microsoft Windows Remote Desktop Services (RDS) remote code execution vulnerability also known as BlueKeep

CVE-2019-11580: Atlassian Crowd remote code execution vulnerability

CVE-2019-19781: Citrix Application Delivery Controller and Citrix Gateway remote code execution vulnerability

CVE-2020-10189: RCE for Zoho ManageEngine Desktop Central remote code execution vulnerability

CVE-2014-1812: Microsoft Windows local privilege escalation

CVE-2019-3398: Atlassian Confluence authenticated remote code execution

CVE-2020-0688: Microsoft Exchange remote code execution

CVE-2016-0167: Local privilege escalation on older versions of Microsoft Windows

CVE-2017-11774: Remote code execution in Microsoft Outlook via specially crafted URI (phishing) also known as Microsoft Outlook Security Feature Bypass Vulnerability

CVE-2018-8581: Microsoft Exchange Server elevation of privilege vulnerability

CVE-2019-8394: Zoho ManageEngine ServiceDesk Plus (SDP) unauthenticated file upload

• 

مشتریان SolarWinds Orion چه اقدامات امنیتی می بایست انجام دهند؟

کارشناسان معاونت بررسی مرکز مدیریت راهبردی فتا، توصیه می کنند تا کارشناسان IT دستگاه‌های زیرساخت را در کوتاهترین زمان ممکن، با استفاده از محصولات ضدویروس و ابزارهای امنیتی، جهت بررسی وجود هر گونه نشانه آلودگی بررسی کنند.

دستگاه‌های زیرساخت همچنین، باید با انجام بررسی دقیق، فراگیر و جامع امنیتی، زیرساخت‌های فیزیکی و ابری را بازبینی و مقاوم‌سازی کنند.

متخصصان IT زیرساخت‌های کشور، باید در اسرع وقت نسبت به جدا کردن هر سیستمی که بر روی آن ورژن ۲۰۱۹٫۴ HF 5, 2020.2 تا ۲۰۲۰٫۲ HF 1 محصول SolarWinds Orion Platform نصب است اقدام کنند. این نسخ در فاصله مارس ۲۰۲۰ تا ژوئن ۲۰۲۰ عرضه شده بودند.

کارشناسان معاونت بررسی مرکز افتا از متخصصان IT در زیرساخت‌ها خواسته‌اند تا در نخستین فرصت،SolarWinds Orion Platform را به نسخه  2020.2.1 HF 1 ارتقا داده و پس از اطمینان از عدم وجود هر گونه آلودگی، سیستم‌ها را به حالت قبل بازگردانند.

همچنین مستندات سولار ویندز در خصوص رخداد اخیر در لینک زیر قابل دریافت می باشد:

https://www.solarwinds.com/securityadvisory