ممکن است سازمانهایی که هنوز درگیر یک آسیب پذیری مهم در اجرای کد از راه دور نشده اند ، این هفته در فناوری انتقال فایل Serv-U SolarWinds برای ویندوز وصله کرده اند ، ممکن است بخواهند این کار را به سرعت انجام دهند.
مایکروسافت ، که SolarWinds را در مورد این نقص آگاه کرد ، روز سه شنبه گزارش داد که یک عامل تهدید مستقر در چین را مشاهده کرده است که از یک بهره برداری روز صفر در حملات محدود و هدفمند علیه آسیب پذیری استفاده می کند (CVE-2021-35211).
مایکروسافت در حال حاضر مهاجم را به عنوان DEV-0322 ردیابی می کند ، گروهی که در خارج از چین فعالیت می کند و قبلاً سازمان های هدف قرار دادن آن را در صنعت نرم افزار ایالات متحده و بخش پایگاه های دفاع دفاعی مشاهده کرده است. این شرکت گفت ، این گروه از فناوری های VPN تجاری استفاده کرده و در فعالیت های قبلی حمله ، روترهای مصرف کننده را به خطر انداخته است.
مایکروسافت دیروز در یک پست وبلاگ نوشت: “ما به شدت از همه مشتریان می خواهیم که نمونه های Serv-U خود را به آخرین نسخه موجود به روز کنند.”
CVE-2021-35211 به اصطلاح آسیب پذیری فرار حافظه در SolarWinds Serv-U Manage File Transfer و Serv-U Secure FTP برای ویندوز است. این فناوری به گونه ای طراحی شده است که به سازمانها راهی برای انتقال ایمن پرونده ها در داخل و خارج از شبکه های خود می دهد.
آسیب پذیری تازه کشف شده ناشی از اجرای پروتکل SSH در Serv-U توسط SolarWinds است. این به مهاجمین روشی برای دسترسی از راه دور و اجرای کد مخرب با امتیازات سطح سیستم در سیستم های آسیب پذیر می دهد. مهاجمان می توانند برای نصب و اجرای محموله های مخرب ، رها کردن بدافزار اضافی و مشاهده یا تغییر داده ها ، از این نقص استفاده کنند. با این حال ، این نقص فقط در سیستم هایی قابل استفاده است که SV-Serv-U در معرض اینترنت است.
مایکروسافت می گوید این مسئله را هنگام بررسی آنچه به نظر می رسد رفتار حمله صفر روزه در داده های جمع آوری شده از شبکه های مشتری است ، کشف کرده است. “مشخص شد که یک فرآیند مخرب ناهنجار از روند Serv-U تخم ریزی می کند ، که نشان می دهد این روند به خطر افتاده است.”
SolarWinds پس از اطلاع مایکروسافت به این شرکت در مورد آسیب پذیری ، رفع مشکل سریع را انجام داد. در هشدار و س FAالات متداول بعدی – که آخرین بار در روز سه شنبه به روز شد – این شرکت گفت که مایکروسافت شواهدی درباره “تأثیر محدود و هدفمند مشتری” به آن ارائه کرده است. این شرکت گفت ، با این حال ، SolarWinds از هویت مشتریانی که تحت تأثیر آن قرار گرفته اند آگاهی ندارد. همراه با رفع مشکل ، SolarWinds دستورالعمل هایی در مورد چگونگی شناسایی مشتریان Serv-U در صورت به خطر افتادن اطلاعات ارائه داده است. SolarWinds گفت: “اگر SSH در محیط فعال نباشد ، آسیب پذیری وجود ندارد.”
آسیب پذیری تازه افشا شده در Serv-U مربوط به حمله بدنامی است که در دسامبر گذشته به محیط ساخت نرم افزار SolarWinds فاش شد و منجر به توزیع یک درب پشتی به نام Sunburst در هزاران مشتری از نرم افزار مدیریت شبکه Orion شرکت شد. اما این سومین بار است – از جمله مبارزات حمله Sunburst – که بازیگران تهدید را با بهره گیری از آسیب پذیری های فن آوری های SolarWinds مشاهده می کنند.
در اواخر ماه فوریه و مارس ، محققان در حال تحقیق در مورد هک Sunburst کشف کردند که یک گروه چینی نیز ممکن است در همان زمان که گروه مستقر در روسیه در پشت حمله Sunburst از آن بهره برداری می کردند ، به طور فعال از مسائل موجود در سیستم عامل Orion بهره برداری می کردند.
روند رو به رشد
حملات به SolarWinds بخشی از آنچه محققان امنیتی می گویند تمرکز فزاینده بر روی زنجیره تامین نرم افزار در میان مهاجمان سایبری است. در ماه های اخیر ، موارد مختلفی وجود داشته است که مهاجمان با هدف قرار دادن فروشندگان قابل اعتماد نرم افزار و ارائه دهندگان خدمات خود ، سعی در توزیع بدافزار یا به خطر انداختن همزمان بسیاری از سازمان ها داشته اند. حمله اخیر به Kaseya که منجر به توزیع باج افزار به چندین ارائه دهنده خدمات مدیریت شده شد ، آخرین نمونه است.
سونیل یو ، CISO در JupiterOne ، می گوید این روند نیاز به تجدید نظر در فرآیندهای بررسی نرم افزار شخص ثالث را برجسته می کند. وی می گوید: “در حال حاضر ، استاندارد عمل این است كه به فروشندگان پرسشنامه طولانی ارسال كرده و گهگاه مدارك مرتبط با پاسخ آنها را بخواهید.” یو می گوید: “ما اطمینان داریم كه این پاسخ ها دقیق است و فروشنده واقعاً فعالیت های امنیتی را كه تأیید كرده اند انجام می دهد.” به جلو ، ممکن است ایده خوبی باشد که اطمینان حاصل شود تأمین کنندگان شخص ثالث همان نوع اعتماد صفر را برای امنیت که رئیس جمهور بایدن در دستورالعمل امنیت سایبری خود برای آژانس های فدرال در اوایل سال جاری به آن اشاره کرد ، اعمال کنند.
جک مانینو ، مدیر عامل شرکت nVisium می گوید ، امنیت زنجیره تامین همچنان یک مسئله اساسی برای پیشبرد شرکت خواهد بود. وی می گوید ، علاوه بر تکنیک های سنتی تست امنیت نرم افزار ، مانند بررسی کد و تست نفوذ ، ایده خوبی برای کسب و کارها است که از طریق بررسی کد مخرب ، رفتار نرم افزار را درک کنند. وی می افزاید: “این نوع آزمایش ها احتمال اینکه نرم افزار حاوی بدافزارهای جاسازی شده باشد را کشف می کند ،” از طریق ارتکاب کد مخرب یا وابستگی های شخص ثالث در معرض خطر.