Menu
در حمله زنجیره تامین پیچیده دیگر، دشمنان، به روزرسانی های نرم افزار نظارت و مدیریت ،SolarWinds Orion IT تا2019.4 HF 5 ” را در نسخه های SolarWinds.Orion.Core.BusinessLayer.dll” مخصوصا مولفه ای به نام 2020.2.1 به خطر انداختند. به روزرسانی های امضا شده به صورت دیجیتالی تا همین اواخر در وب سایت SolarWinds پست می شدند. این فعالیت نهانی توسط FireEyeبه عنوان SUNBURSTردیابی می شود و می تواند با سرورهای شخص ثالث از طریق HTTPارتباط برقرار سازد و توسط SolarWindsواقعی قابل اجرا قبل از کد قانونی بارگذاری می شود تا قربانی مطلع نگردد که چیزی نادرست است.
بعد از یک دوره رکود، که ممکن است تا دو هفته طول بکشد،درب پشتی ) (backdoorمی تواند دستورات را به منظور انتقال و اجرای فایل ها، تعیین وضعیت سیستم، راه اندازی مجدد ماشین و سرویس های سیستم غیرفعال اجرا کند. توجه داشته باشید که تعدادی نمونه SUNBURSTدر بارهای مفید و با ارزش متغیر از جمله Teardropکه برای گسترش دیدبان های Cobalt Strike استفاده شده است، مشاهده شده اند.
دشمنان برای دستیابی به حساب مدیر جهانی قربانی و / یا گواهینامه نشان توکن SAML قابل اعتماد در امتیازات اجرایی به دست آمده در هنگام مخاطره اساسی نفوذ می کنند. این دشمن می تواند توکن های SAMLرا جعل کند که هر یک از کاربران و حساب های موجود سازمان ، از جمله حساب های بسیار ممتاز است را جعل هویت می کند، و به آنها اجازه می دهد تا احراز هویت چند عاملی را برای سرویس هایی مانند مجموعه Office365 دور بزنند. محققان امنیتی مشاهده کرده اند که کاربران هدف اغلب پرسنل اصلی ITو امنیتی هستند. به دلیل این که توکن های SAML با گواهی قابل اعتماد خودشان امضا می شوند، می توان از آنها برای ورود به هر منبع اصلی یا محیط ابر، صرف نظر از فروشنده، استفاده کرد.
