Clear
Lead Graphic Papers

ข่าวสั้น

แจ้งเตือน SolarWinds ถูกแฮกฝังโค้ดมัลแวร์ในผลิตภัณฑ์ Orion มีการโจมตีแล้ว ควรรีบอัปเดต

เมื่อวันที่ 13 ธันวาคม 2563 มีรายงานว่าหน่วยงานภาครัฐหลายแห่งในประเทศสหรัฐอเมริกาถูกเจาะระบบโดยกลุ่มผู้โจมตีที่ได้รับการสนับสนุนระดับประเทศ (state-sponsored attack) ในรายงานระบุว่าหน่วยงานเหล่านั้นถูกโจมตีผ่านระบบ SolarWinds ซึ่งเป็นซอฟต์แวร์บริหารจัดการและตรวจสอบสถานะของอุปกรณ์ในเครือข่าย เบื้องต้นทาง SolarWinds ได้ออกแถลงการณ์ว่าระบบถูกเข้าถึงโดยไม่ได้รับอนุญาต และซอฟต์แวร์ที่เผยแพร่ในระหว่างช่วงเดือนมีนาคมถึงมิถุนายนปี 2563 นั้นถูกดัดแปลงเพื่อฝังโค้ดอันตราย (supply chain attack) โดยซอฟต์แวร์ที่ได้รับผลกระทบคือ SolarWinds Orion Platform เวอร์ชัน 2019.4 HF 5, 2020.2 และ 2020.2 HF 1

ทาง SolarWinds ได้แจ้งเตือนให้ผู้ใช้งานรีบอัปเดตซอฟต์แวร์ Orion Platform สำหรับผู้ใช้งานเวอร์ชัน 2019.4 HF 5 หรือต่ำกว่าให้อัปเดตเป็น 2019.4 HF 6 และสำหรับผู้ใช้งานเวอร์ชัน 2020.2 หรือ 2020.2 HF 1 ให้อัปเดตเป็นเวอร์ชัน 2020.2.1 HF 1 โดยเร็วที่สุดเพื่อลดความเสี่ยง รวมถึงจะออกอัปเดตเวอร์ชัน 2020.2.1 HF 2 ในวันที่ 15 ธันวาคม 2563 เพื่อปรับปรุงความมั่นคงปลอดภัยเพิ่มเติมด้วย (อ้างอิง https://www.solarwinds.com/securityadvisory)

ทีมวิจัยด้านความมั่นคงปลอดภัยจาก Microsoft ให้ข้อมูลเพิ่มเติมเกี่ยวกับการโจมตี โดยได้เรียกเหตุการณ์นี้ว่า Solorigate รูปแบบการโจมตีเป็นการแทรกโค้ดในโปรแกรม SolarWinds Orion Platform เพื่อให้โหลดไฟล์ DLL ของมัลแวร์ขึ้นมาทำงาน โดยมัลแวร์ดังกล่าวจะทำหน้าที่เป็น backdoor ติดต่อและส่งข้อมูลกลับไปยังเครื่องสั่งการและควบคุม (command and control หรือ C2) โดยทาง Microsoft ได้เผยแพร่รายการ IoC รวมถึงออกอัปเดตฐานข้อมูลของ Windows Defender เพื่อตรวจจับไฟล์มัลแวร์ดังกล่าวแล้ว (อ้างอิง https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks)

ทาง FireEye ได้เผยแพร่บทวิเคราะห์การโจมตีโดยละเอียด ทั้งภาพรวมการโจมตี บทวิเคราะห์มัลแวร์ และข้อมูล IoC ของไฟล์และโดเมนที่เกี่ยวข้อง (อ้างอิง https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html) ทั้งนี้ มีรายงานว่ากลุ่มผู้ที่โจมตี SolarWinds น่าจะเป็นกลุ่มเดียวกับที่เจาะระบบของบริษัท FireEye และขโมยเครื่องมือสำหรับใช้เจาะระบบออกมา (ข่าวเก่า https://www.thaicert.or.th/newsbite/2020-12-09-01.html)

ทีมไทยเซิร์ตอยู่ระหว่างการรวบรวมข้อมูลและประสานกับหน่วยงานที่เกี่ยวข้อง เนื่องจากพบว่ามีการใช้งานผลิตภัณฑ์ SolarWinds Orion Platform ในประเทศไทยด้วย ทั้งนี้ หน่วยงานที่มีการใช้งาน SolarWinds โปรดติดตามข่าวสาร อัปเดตแพตช์ และตรวจสอบข้อมูล IoC เพื่อประเมินสถานการณ์การโจมตี

วันที่: 2020-12-14 | ที่มา: SANS, Washington Post | Share on Facebook Share on Twitter Share on Google+

Clear