اخبار امنیت

خانه آگاهی‌رسانی امنیتی اخبار امنیت سوءاستفاده از پلتفرم SolarWinds Orion برای انتشار بدافزار‌ی خطرناک!

۹ دی ۱۳۹۹

تعداد بازدید: 250

باز سوءاستفاده از پلتفرم SolarWinds Orion برای انتشار بدافزار‌ی خطرناک

افتا هشدار داد!

پس از انتشار اخبار روزهای گذشته در مورد کشف بدافزار SUNBURST و سوءاستفاده هکرها از پلتفرم Solarwinds Orion، حال متخصصان امنیتی از کشف بدافزار دیگری در سیستم قربانیان این حملات خبر داده‌اند. به گزارش آرمان داده پویان به نقل از وب‌سایت هکر نیوز، محققان امنیتی به تازگی آسیب‌پذیری جدیدی در نرم‌افزار SolarWinds Orion کشف کرده‌اند. این آسیب‌پذیری از نوع Authentication Bypass بوده و به مهاجمان اجازه می‌دهد تا بدافزار SUPERNOVA را در سیستم قربانیان نصب کنند.

بنا به گزارشی که اخیرا مرکز رسیدگی به رخدادهای سایبری CERT Coordination Center منتشر کرده است، به نظر می‌رسد API نرم‌افزار SolarWinds Orion که برای ارتباط این نرم‌افزار با سایر محصولات Orion مورد استفاده قرار می‌گیرد، دارای یک آسیب‌پذیری بحرانی است. این آسیب‌پذیری که با شناسه مرجع CVE-2020-10148 به ثبت رسیده است، به یک مهاجم راه دور اجازه می‌دهد تا دستورات API غیرمجاز را اجرا کرده و امنیت این نرم‌افزار را به خطر بیندازد.

این مرکز توضیح داد: فرآیند احراز هویت API می‌تواند با درج پارامترهای خاص در تابع Request.PathInfo در یک درخواست URI، دور زده شود، در نتیجه مهاجم می‌تواند دستورات API غیرمجاز را اجرا کند. در واقع اگر مهاجم بتواند یک پارامتر خاص PathInfo را به درخواستی که برای سرور SolarWinds Orion ارسال می‌شود اضافه کند، ممکن است نرم‌افزار Orion در تشخیص پرچم (flag) احراز هویت دچار خطا شده و بدین ترتیب درخواست API بدون طی کردن مراحل احراز هویت پردازش خواهد شد.

گفتنی است که شرکت SolarWinds قبلا در ۲۴ دسامبر ۲۰۲۰ از یک آسیب‌پذیری ناشناخته در نرم‌افزار Orion خبر داده بود که به نقل از این شرکت، در صورت سواستفاده می‌توانست منجر به نصب بدافزار SUPENOVA گردد، اما جزئیات دقیق این آسیب‌پذیری تاکنون مشخص نشده بود. غول دنیای نرم‌افزاری یعنی مایکروسافت نیز هفته گذشته گفته بود که احتمالا عاملان دیگری در سواستفاده از نرم‌افزار SolarWinds Orion نقش دارند و یک بدافزار اضافی به نام SUPERNOVA را در سیستم‌های هدف نصب می‌کنند.

این موضوع توسط تیم امنیت سایبری و تهدیدات هوشمند شرکت Palo Alto (به نام Unit 42) و شرکت امنیتی GuidePoint Security نیز تایید شده بود. هر دوی این شرکت‌ها معتقدند که این بدافزار، یک پوسته (Shell) با زبان برنامه‌نویسی .Net است که با ایجاد تغییر در ماژول “app_web_logoimagehandler.ashx.b6031896.dll” در نرم‌افزار SolarWinds Orion اجرا می‌گردد. این تغییرات به گونه‌ای است که مانع شناسایی ماژول مذکور توسط نرم‌افزارهای امنیتی می‌شود. در حالت معمول، وظیفه اصلی این فایل DLL در واقع نمایش لوگوی پیکربندی شده توسط کاربر از طریق API مبتنی بر پروتکل HTTP است. اما این ماژول مخرب باعث می‌شود که فایل DLL بتواند دستورات مورد نظر را از سرور فرمان و کنترل مهاجم دریافت کرده و در حافظه سرور SolarWinds Orion به اجرا در بیاورد. بدافزار SUPERNOVA در حال حاضر در سامانه جهانی VirusTotal توسط ۶۰ آنتی‌ویروس معتبر شناسایی می‌شود.

پژوهشگران امنیتی Unit 42 خاطر نشان کردند: بدافزار SUPERNOVA دارای ویژگی‌های بدیعی است. این بدافزار منحصرا برای سرورهای SolarWinds Orion نوشته شده است. بدافزار SUPERNOVA در حافظه سیستم اجرا می‌شود، پارامترهای آن پیچیده است و از این حیث که از یک API تحت زبان برنامه‌نویسی .NET استفاده می‌کند، انعطاف پذیری بالایی دارد. گفته می‌شود که عاملان انتشار بدافزار SUPERNOVA با گروه سایبری «UNC2452» که مسئول انتشار بدافزار SUNBURST هستند، یکسان نیستند. طبق شواهد بدست آمده، بدافزار SUPERNOVA از طریق یک ابزار ناشناخته در سیستم قربانیان بارگذاری می‌شود. این ابزار بر خلاف فایل DLL قبلی، امضای دیجیتال ندارد.

در حال حاضر پژوهشگران در تلاشند تا اثرات کامل این هک گسترده را کشف کنند و با بررسی تکه‌های این پازل سعی دارند به عواقب نفوذ به ۱۸٫۰۰۰ مشتری شرکت SolarWinds پی ببرند.

علیرغم اینکه استفاده از پوسته‌های وب (Webshell) یک تکنیک رایج در حملات سایبری است، اما ویژگی خاص و هدفمند مورد استفاده در این حمله، آن را نسبت به سایر حملات متمایز کرده است. FireEye که اولین شرکتی بود که بدافزار SUNBURST را کشف کرد، در نتایج تحلیل خود عنوان کرده است که مهاجمین به محض ایجاد دسترسی از راه دور، ابزارهای خود را از سیستم قربانی حذف می‌کنند که این موضوع نشان از پیچیدگی بالای این بدافزار دارد و باید مورد توجه متخصصان امنیت قرار گیرد.

نتایج بدست آمده از تحقیقات مایکروسافت و RevesingLabs نشان می‌دهد که هک SolarWinds در واقع از اوایل اکتبر ۲۰۱۹ یعنی زمانی که مهاجمین کدهای مخرب را با آپدیت نرم‌افزار SolarWinds ترکیب کردند تا از آن برای حملات خود در آینده استفاده کنند، آغاز گردیده است.

شرکت SolarWinds به تمام کاربران نرم‌افزار Orion توصیه می‌کند که برای ترمیم آسیب‌پذیری CVE-2020-10148 و جلوگیری از اجرای بدافزارهای SUNBURST و SUPERNOVA حتما به نسخه‌های زیر به‌روزرسانی کنید:

  • نسخه ۲۰۱۹٫۴ HF 6 (تاریخ انتشار ۱۴ سپتامبر ۲۰۲۰)
  • نسخه ۲۰۲۰٫۲٫۱ HF 2 (تاریخ انتشار ۱۵ سپتامبر ۲۰۲۰)
  • نسخه ۲۰۱۹٫۲ SUPERNOVA Patch (تاریخ انتشار ۲۳ دسامبر ۲۰۲۰)
  • نسخه۲۰۱۸٫۴ SUPERNOVA Patch (تاریخ انتشار ۲۳ دسامبر ۲۰۲۰)
  • نسخه ۲۰۱۸٫۲ SUPERNOVA Patch (تاریخ انتشار ۲۳ دسامبر ۲۰۲۰)

ضمنا در نسخه‌های ۲۰۲۰٫۲٫۱ HF 2 و ۲۰۱۹٫۴ HF 6 هر دو آسیب‌پذیری مربوط به SUNBURST و SUPERNOVA ترمیم شده و کاربرانی که قبلا به این نسخه‌ها به‌روزرسانی کرده‌اند، لازم نیست اقدام اضافی دیگری انجام دهند. اگر کاربران از نسخه‌های پایین‌تر از ۲۰۱۸٫۲ استفاده می‌کنند و یا به هر دلیلی موفق به نصب آپدیت‌های این نرم‌افزار نشدند، SolarWinds برای جلوگیری از آسیب‌های احتمالی، اسکریپتی را آماده کرده که از این آدرس قابل دریافت است.