محققین امنیتی، وجود SunBurst Backdoor در SolarWinds را گزارش می دهند. شرکت SolarWind اعلام کرده که تمام نسخه های مربوطه به SolarWinds Orion Platform که در ماه ها March تا June سال 2020 منتشر شدهاند، آسیبپذیر هستند. همچنین گزارش شده است که هکرها، با نفوذ در فرایند ایجاد نرم افزار SolarWinds و ایجاد Backdoor در این محصول، موجب آسیبپذیری صدها شبکه در دنیا شدهاند. تمام این شبکه ها از نسخه های 2019.4 HF 5 تا 2020.2.1 محصول SolarWinds Orion Platform استفاده میکنند.
گزارش وجود SunBurst Backdoor در SolarWinds پس از منتشر شدن خبر حمله به دو وزارت خزانه داری ایالات متحده و اداره ارتباطات ملی و اطلاعات وزارت بازرگانی ایالات متحده بیان شده است. همچنین جهت نفوذ به شرکت FireEye نیز از این آسیبپذیری استفاده گردیده است.
لیست شرکت هایی که تا کنون هک شدن آنها با این بک دور مورد تائید قرار گرفته است:
Cisco VMware Microsoft SAP Intel Check Point FireEye Cox Communications Deloitte Nvidia Fujitsu Belkin Amerisafe Lukoil Rakuten Optimizely Digital Reach Digital Sense.
مشاهده ی لیست کامل در این لینک.
استفاده از وصله ی امنیتی منتشر شده
https://www.solarwinds.com/-/media/solarwinds/swdcv2/landing-pages/trust-center/resources/secure-configuration-in-the-orion-platform.ashx?rev=32603e0c87d84085b081f99a33fe5f4d&hash=62A998B9753957D82BC0F07005D38368 https://www.solarwinds.com/securityadvisory https://customerportal.solarwinds.com/
در صورتی که آپدیت فایل آلوده انجام شده باشد باید سریعا اقدامات پاکسازی به شرح زیر انجام پذیرد:
مسدود سازی آدرس سرورهای زیر:
appsync-api.eu-west-1[.]avsvmcloud[.]com appsync-api.us-west-2[.]avsvmcloud[.]com appsync-api.us-east-1[.]avsvmcloud[.]com appsync-api.us-east-2[.]avsvmcloud[.]com
در صورتی که بک دور مورد نظر قادر به اتصال به سرورهای بالا نباشد، اقدام به تولید تصادفی آدرس به شرح ذیل می نماید.
- 10.0.0.0/8 - 172.16.0.0/12 - 192.168.0.0/16 - 224.0.0.0/3 - fc00:: - fe00:: - fec0:: - ffc0:: - ff00:: - ff00:: - 20.140.0.0/15 - 96.31.172.0/24 - 131.228.12.0/22 - 144.86.226.0/24
مشاهده ی راهنمایی موجود در این لینک جهت ایمنسازی پلتفرم.
مشاهده ی مجوعه قوانین جهت حفاظت در برابر حملات این بدافزار خطرناک در این لینک.
برای مشاهده ی سایر آسیب پذیری ها، روی این لینک کلیک نمائید.