وجود SunBurst Backdoor در SolarWinds

نویسنده: میلاد خوشدل    دسته بندی: آسیب پذیری های امنیتی     تاریخ ارسال: 1399/09/30     0 لایک

SunBurst Backdoor در SolarWinds

محققین امنیتی، وجود SunBurst Backdoor در SolarWinds را گزارش می دهند. شرکت SolarWind اعلام کرده که تمام نسخه‌ های مربوطه به SolarWinds Orion Platform که در ماه‌ ها March تا June سال 2020 منتشر شده‌اند‌، ‫آسیب‌پذیر هستند. همچنین گزارش شده است که هکرها، با نفوذ در فرایند ایجاد نرم افزار SolarWinds و ایجاد Backdoor در این محصول، موجب آسیب‌پذیری صدها شبکه در دنیا شده‌اند. تمام این شبکه ها از نسخه‌ های 2019.4 HF 5 تا 2020.2.1 محصول SolarWinds Orion Platform استفاده می‌کنند.

گزارش وجود SunBurst Backdoor در SolarWinds پس از منتشر شدن خبر حمله به دو وزارت خزانه داری ایالات متحده و اداره ارتباطات ملی و اطلاعات وزارت بازرگانی ایالات متحده بیان شده است. همچنین جهت نفوذ به شرکت FireEye نیز از این آسیب‌پذیری استفاده گردیده است.

لیست شرکت هایی که تا کنون هک شدن آنها با این بک دور مورد تائید قرار گرفته است: 

Cisco
VMware
Microsoft
SAP
Intel
Check Point
FireEye
Cox Communications
Deloitte
Nvidia
Fujitsu
Belkin
Amerisafe
Lukoil
Rakuten
Optimizely
Digital Reach
Digital Sense.

مشاهده ی لیست کامل در این لینک.

توصیه های امنیتی در ارتباط با رفع این آسیب پذیری

استفاده از وصله ی امنیتی منتشر شده

https://www.solarwinds.com/-/media/solarwinds/swdcv2/landing-pages/trust-center/resources/secure-configuration-in-the-orion-platform.ashx?rev=32603e0c87d84085b081f99a33fe5f4d&hash=62A998B9753957D82BC0F07005D38368
https://www.solarwinds.com/securityadvisory
https://customerportal.solarwinds.com/

در صورتی که آپدیت فایل آلوده انجام شده باشد باید سریعا اقدامات پاکسازی به شرح زیر انجام پذیرد:
مسدود سازی آدرس سرورهای زیر: 

appsync-api.eu-west-1[.]avsvmcloud[.]com
appsync-api.us-west-2[.]avsvmcloud[.]com
appsync-api.us-east-1[.]avsvmcloud[.]com
appsync-api.us-east-2[.]avsvmcloud[.]com

در صورتی که بک دور مورد نظر قادر به اتصال به سرورهای بالا نباشد، اقدام به تولید تصادفی آدرس به شرح ذیل می نماید. 

- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
- 224.0.0.0/3
- fc00:: - fe00::
- fec0:: - ffc0::
- ff00:: - ff00::
- 20.140.0.0/15
- 96.31.172.0/24
- 131.228.12.0/22
- 144.86.226.0/24

مشاهده ی راهنمایی موجود در این لینک جهت ایمن‌سازی پلتفرم.

مشاهده ی مجوعه قوانین جهت حفاظت در برابر حملات این بدافزار خطرناک در این لینک.


برای مشاهده ی سایر آسیب پذیری ها، روی این لینک کلیک نمائید.

کامنت ها  (0)

جهت ثبت کامنت می بایست ابتدا در سایت لاگین نمائید.

کامنتی در دسترس نیست

دسته بندی ها

آخرین مطالب