اخبار امنیت

خانه آگاهی‌رسانی امنیتی اخبار امنیت اگر از نرم افزار Orion سولارویندز استفاده می‌کنید در معرض خطر هستید!

۲۵ آذر ۱۳۹۹

تعداد بازدید: 515

اگر از نرم افزار Orion سولارویندز استفاده می‌کنید در معرض خطر هستید!

بعد از هک شدن اطلاعات وزارت خزانه داری و بازرگانی ایالات متحده به تمامی آژانس‌های دولتی امریکا اعلام شد تا از نرم افزار Orion محصول شرکت سولارویندز استفاده نکنند. شرکت FireEye که خود در هفته گذشته هدف یک حمله سایبری هدفمند پیشرفته قرار گرفت در طی بررسی‌هایش  به سوءاستفاده مهاجمین از نرم افزار Orion پی برده است. آژانس امنیت سایبری ایالات متحده نیز در رابطه با این حمله گفته است: “حمله فعلی دارای پتانسیل بالایی برای به خطر انداختن سیستم‌های دولتی دارد.” سپس این آژانس در هشداری فوری به همه سازمان‌های دولتی امریکا در مورد آسیب‌پذیری نرم افزار Orion هشدار جدی داده است. این موضوع آنقدر جدی است که آژانس امنیت سایبری امریکا با مراکز دولتی تماس تلفنی گرفته و از آن‌ها درخواست کرده است تا هر چه سریعتر وضعیت امنیت شبکه‌شان را بررسی کنند. همچنین سرورهای سولارویندز را از شبکه جدا کرده و یا خاموش کنند. آمریکا، دولت روسیه را عامل اصلی این حملات پیشرفته می‌داند اما وزارت خارجی روسیه در طی بیانیه‌ای این اتهام را رد کرد و آن را بی اساس خواند. شرکت سولارویندز هم اقدام به ارائه به‌روزرسانی‌های جدید برای کاربرانش کرد. اگر از نرم افزار Orion محصول شرکت سولارویندز در شبکه‌تان استفاده می‌کنید بخش راهکارها را حتما مطالعه کرده و به سرعت اقدام کنید.

حمله چگونه انجام شده است؟

به گفته FireEye در پشت این حمله گره هکری UNC2452 قرار دارد. این گروه با حمایت دولت روسیه و استفاده از روش‌ها و ابزار پیشرفته از پلتفرم مانیتورینگ Orion محصول شرکت سولارویندز در حملات اخیرش سوءاستفاده کرده است. UNC2452 که فعالیتش را از اوایل بهار ۲۰۲۰ آغاز کرده است گروهی پیشرفته و حرفه‌ای به شمار می‌آید.  این گروه در حمله‌اش به سولارویندز از شیوه آلوده‌سازی به‌روزرسانی نرم‌افزار Orion  به تروجان SUNBURST استفاده کرده است. این به‌روزرسانی‌ها حاوی تروجان ظاهرا از ماه مارس تا مه ۲۰۲۰ در وب‌سایت سولارویندز قرار گرفته بودند که پس از نصب و اجرا در سیستم قربانیان، فایل dll حاوی تروجان را در نرم‌افزار Orion بارگذاری می‌کنند. تروجان SUNBURST در فایل سولارویندز.Orion.Core.BusinessLayer.dll که کامپوننت اصلی فریمورک نرم‌افزار Orion است قرار گرفته و از طریق پروتکل HTTP با سرورهای مهاجمان ارتباط می‌گیرد. تروجان پس از طی یک دوره خاموشی اولیه به مدت دو هفته، دستوراتی تحت عنوان «Jobs» را دریافت می‌کند که از طریق آن‌ها قادر است اقداماتی از قبیل شناسایی سیستم قربانی، انتقال و اجرای فایل‌ها، راه‌اندازی مجدد سیستم و غیرفعال‌سازی برخی از سرویس‌ها را انجام دهد. این بدافزار ترافیک شبکه خود را در پوشش پروتکل OIP که یکی از پروتکل‌های نرم‌افزار Orion software است مخفی کرده و اطلاعاتی که جمع‌آوری می‌کند را در فایل‌های پیکربندی یکی از پلاگین‌های این نرم‌افزار ذخیره می‌کند. این تروجان از روش‌های مختلفی برای شناسایی آنتی‌ویروس‌ها و ابزارهای فارنزیک در سیستم‌های هدف استفاده می‌کند. FireEye معتقد است، هدف این گروه نفوذ در شبکه سازمان‌ها و سرقت اطلاعات قربانیان می‌باشد.

فورا این اقدامات را انجام دهید!

نرم افزارهای سولارویندز در بسیاری از وزارتخانه‌ها، سازمان‌های دولتی و شرکت‌های ایرانی مورد استفاده قرار گرفته است. از این رو آرمان داده پویان به شما توصیه می‌کند ضمن بررسی امنیت شبکه سازمانتان راهکارهای زیر را طبق پیشنهادات سولارویندز حتما انجام دهید. لازم به ذکر است طبق بررسی‌های انجام شده نسخه‌های ۲۰۱۹٫۴ HF 5 تا ۲۰۲۰٫۲ HF 1 نرم افزار Orion محصول شرکت سولارویندز آسیب‌پذیر هستند.

به تمام کاربران توصیه می‌شود که قبل از هر اقدامی، برای ترمیم آسیب‌پذیری‌های موجود، سریعا نرم‌افزار Orion Platform را به نسخه ۲۰۲۰٫۲٫۱ HF 1 به‌روزرسانی کنند. اگر مطمئن نیستید که از کدام نسخه این نرم‌افزار استفاده می‌کنید می‌توانید از این پیوند استفاده کنید و در صورتی که نمی‌دانید کدام وصله‌های امنیتی بر روی نرم‌افزار شما نصب شده‌اند به این پیوند مراجعه کنید.

  • اگر به هر دلیلی امکان به‌روزرسانی فوری نرم‌افزار وجود ندارد، سولارویندز توصیه می‌کند برای کاهش اثرات حمله، با قرار دادن سرور Orion Platform را در پشت فایروال، آن را ایزوله کرده و دسترسی اینترنت را نیز برای آن مسدود کنید. ضمنا تمام پورت‌های اضافی سرور را ببندید و تنها موارد مورد نیاز را باز نگه دارید.
  • بر اساس اعلام شرکت سولارویندز، وصله امنیتی دیگری با نسخه ۲۰۲۰٫۲٫۱ HF 2 نیز برای نرم‌افزار Orion Platform در حال انتشار است و پیش‌بینی می‌شود در تاریخ ۱۵ دسامبر ۲۰۲۰ در دسترس عموم قرار گیرد. این وصله امنیتی، شامل تمام به‌روزرسانی‌های قبلی و چند مورد اصلاحیه امنیتی اضافی است که توصیه می‌شود به محض انتشار، نسبت به نصب آن اقدام گردد. شرکت سولارویندز در حال بررسی اثرات مخرب این حمله سایبری بوده و با به‌روزرسانی مداوم محصولات خود، هرگونه خسارت و یا وقفه در کسب و کار مشتریان این محصولات را به حداقل خواهد رساند.

تیم فنی آرمان داده پویان با بهره‌گیری از تیمی متشکل از متخصصین امنیت و شبکه آماده ارائه طیف وسیعی از خدمات ارزیابی امنیتی به سازمان‌ها می‌باشد. با استفاده از خدمات ما می‌توانید ارزیابی درستی از سطح امنیت سازمان خود داشته باشید و قبل از وقوع حوادث امنیتی نقاط آسیب‌پذیر را کشف کنید.

آرمان داده پویان ارائه دهنده خدمات ارزیابی امنیتی به سازمان‌ها