info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

حمله قرن، SolarWinds Orion supply chain attack

خلاصه: هفته گذشته آژانس امنیت سایبری و امنیت زیرساخت (CISA) ایالات متحده آمریکا،  با ارجاع به گزارش FireEye هشداری را منتشر کرد که حاکی از وجود اکسپلویت فعال آسیب‌پذیری‌های SolarWinds بود.به نظر می‌رسد این حمله یکی از بزرگ‌ترین و پیچیده‌ترین حملات سایبری است که در برخی گزارش‌ها از آن با عنوان «حمله قرن» یاد شده است. در این حمله شبکه‌ بزرگان فناوری دنیا از جمله Microsoft، Cisco، VMware، FireEye و ... و نهادهایی مهم همچون پنتاگون، سازمان ملی امنیت هسته‌ای و چندین وزارت‌خانه ایالات متحده آمریکا، ناتو، پارلمان اروپا و ... موردنفوذ واقع شده است.

 

 

شرکت Solarwinds، وجود چندین آسیب‌پذیری در SolarWinds Orion –نرم‌افزار مدیریت و نظارت شبکه- را که به‌موجب آن‌ها کمپین گسترده‌ای از تهدیدات و حملات در سراسر جهان شکل گرفته است را تأیید نمود:

  • آسیب‌پذیری CVE-2020-14005 با سطح خطر ۸.۸ که برای مهاجم امکان اجرای کد از راه دور را فراهم می‌سازد؛
  • آسیب‌پذیری CVE-2020-13169 با سطح خطر ۹.۶ و از نوع XSS.
CVE-2020-14005

بردار دسترسی

پیچیدگی حمله

امتیاز موردنیاز

نیاز به تعامل با کاربر

تأثیر بر محرمانگی

تأثیر بر یکپارچگی

تأثیر بر دسترس‌پذیری

محلّی

زیاد

بالا

دارد

ندارد

ندارد

ندارد

مجاور شبکه

متوسط

کم

-

جزئی

جزئی

جزئی

شبکه

کم

ندارد

ندارد

زیاد

زیاد

زیاد

 
CVE-2020-13169

بردار دسترسی

پیچیدگی حمله

امتیاز موردنیاز

نیاز به تعامل با کاربر

تأثیر بر محرمانگی

تأثیر بر یکپارچگی

تأثیر بر دسترس‌پذیری

محلّی

زیاد

بالا

دارد

ندارد

ندارد

ندارد

مجاور شبکه

متوسط

کم

-

جزئی

جزئی

جزئی

شبکه

کم

ندارد

ندارد

زیاد

زیاد

زیاد

 

با سوءاستفاده از این آسیب‌پذیری‌ها ( و احتمالاً چندین آسیب‌پذیری دیگر که هنوز رسماً اعلام نشده‌اند) کمپین گسترده‌ای صورت گرفته است که توسط FireEye شناسایی و با عنوان UNC2452 دنبال شد. مهاجمین بدین‌ترتیب موفق به نفوذ در بسیاری از سازمان‌های دولتی و خصوصی در سراسر جهان شده‌اند. این کمپین احتمالاً از بهار سال ۲۰۲۰ آغاز و همچنان ادامه دارد. نشانه‌های این حمله حاکی از آن است که بازیگر این کمپین بسیار ماهر و احتمالاً از گروه‌های تهدید پیشرفته یا APTهای مورد حمایت دولتی خاص است.

ریشه این حملات در SolarWinds.Orion.Core.BusinessLayer.dll است؛ مولفه‌ای از نرم‌افزار Orion که بصورت دیجیتال امضا شده است و شامل یک در پشتی است که از طریق پروتکل HTTP به سرورهای طرف سوم (Third party) متصل می‌شود. این نسخه تروجان Orion توسط فایرآی، SUNBURST نام‌گذاری شد.

پس از یک دوره دو هفته‌ای خاموش، کار بدافزار با اجرای دستوراتی موسوم به «Jobs» آغاز می‌شود. این دستورات امکان انتقال و اجرای فایل‌ها، نمایه‌سازی سیستم، راه‌اندازی مجدد دستگاه و غیرفعال کردن خدمات سیستم را برای مهاجم فراهم می‌سازد. بدافزار ترافیک خود را در شبکه با نقاب Orion Improvement Programm یا OIP پنهان می‌کند و نتایج را در فایل‌های پیکربندی افزونه‌های قانونی ذخیره می‌کند و بدین‌ترتیب اقدامات بدخواهانه خود را با فعالیت‌های قانونی نرم‌افزار SolarWinds ترکیب می‌کند تا مکانیزم‌های جرم‌شناسی وضدبدافزارها را سردرگم سازد.

محصولات آسیب‌پذیر:

آژانس امنیت سایبری و امنیت زیرساخت (CISA) ایالات متحده آمریکا، هشداری را منتشر کرده است که اکسپلویت فعال آسیب‌پذیری‌های SolarWinds برای نسخه‌های  ۲۰۱۹.۴ HF 5, 2020.2 with no hotfix installed و ۲۰۲۰.۲ HF 1 وجود دارد. بدین‌ترتیب سیستم‌های زیر آسیب‌پذیر هستند:

  • SolarWinds Orion Platform Version 2019.‎4 HF5
  • SolarWinds Orion Platform Version 2020.‎2
  • SolarWinds Orion Platform Version 2020.‎2 HF1

چگونگی توزیع بدافزار:

چندین تروجان به‌روزرسانی از ماه مارس تا می ۲۰۲۰ امضا و به وب‌سایت به‌روزرسانی‌های SolarWinds اضافه شده‌اند، از جمله:

hxxps://downloads.solarwinds[.‎]‎com/solarwinds/CatalogResources/Core/2019.‎4/2019.‎4.‎5220.‎20574/SolarWinds-Core-v2019.‎4.‎5220-Hotfix5.msp

فایل تروجان به‌روزرسانی، یک فایل وصله استاندارد نصب‌کننده  ویندوز است که منابع مرتبطی از جمله تروجان  SolarWinds.Orion.Core.BusinessLayer.dll را شامل می‌شود. به‌محض نصب فایل به‌روزرسانی، DLL بدخواه با برنامه قانونی SolarWinds.BusinessLayerHost.exe یا SolarWinds.BusinessLayerHostx64.exe ، در سیستم هدف بارگذاری می‌شود. چنانچه گفته شد پس از دو هفته-دوره خاموش- بدافزار برای ایجاد ارتباط با مهاجمین، در صدد حل (resolve) زیردامنه avsvmcloud[.]‎com برمی‌آید. پاسخ DNS یک رکورد CNAME است که به سرور فرمان و کنترل اولیه (Initial C2) اشاره دارد. برای پنهان کردن ردپای ترافیک ارتباطی مهاجم و بدافزار، ارتباطات SolarWinds API تقلید می‌شود. لیست زیرساخت‌های مخربی که تا کنون شناسایی شده‌اند در صفحه FireEye’s GitHub ارائه شده است.

وسعت حملات:

تا کنون اقدامات بدخواهانه این بدافزار در نهادهای بسیاری در سراسر جهان شناسایی شده است. قربانیان این کمپین نهادهای دولتی، فناوری، مخابرات و ... در آمریکای شمالی، اروپا، آسیا و خاورمیانه بوده‌اند.

 

ادامه دارد ...