Microsoft มีการค้นพบช่องโหว่ Zero-Day ที่มีระดับความรุนแรงสูงของ SolarWinds ที่ยังสามารถใช้งานได้อยู่ในปัจจุบันโดยเกิดจากข้อผิดพลาดที่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายบน Product สำหรับการจัดการการถ่ายโอนไฟล์ (Managed File Transfer) ที่ชื่อว่า Serv-U ได้ โดย Microsoft ได้รายงานช่องโหว่ดังกล่าวไปยังบริษัท SolarWinds โดยตรงแล้ว โดยเมื่อวันศุกร์ที่ผ่านมา (9 July 2021) SolarWinds ได้ออกมากล่าวถึงช่องโหว่ Zero-Day ใหม่นี้ไม่มีความเกี่ยวข้องกับเหตุการณ์โจมตี Supply Chain Attack ที่เกิดขึ้นในเดือนธันวาคมที่ผ่านมา และจากหลักฐานที่ทาง Microsoft ให้มา SolarWinds ยังไม่ได้มีการประเมินว่ามีลูกค้าจำนวนกี่รายที่อาจได้รับผลกระทบจากช่องโหว่ตัวใหม่นี้
SolarWinds Serv-U Managed File Transfer, Serv-U Secure FTP และ Serv-U Gateway ที่เป็นส่วนขยายของผลิตภัณฑ์ทั้งสองได้รับผลกระทบจากช่องโหว่ใหม่นี้ทำให้ผู้โจมตีสามารถเรียกใช้งานโค้ดอันตรายจากระยะไกลบนระบบที่มีช่องโหว่ได้ ทำให้ผู้โจมตีสามารถยกระดับสิทธิและเข้าถึงเครื่องที่ติดตั้งผลิตภัณฑ์ Serv-U ได้ โดยผู้โจมตีสามารถติดตั้งโปรแกรม, ดู แก้ไข และลบข้อมูล หรือเรียกใช้โปรแกรมบนระบบได้ โดยช่องโหว่นี้มีอยู่ในผลิตภัณฑ์ Serv-U เวอร์ชันล่าสุด 15.2.3 HF1 ที่มีการเผยแพร่เมื่อวันที่ 5 พฤษภาคม ที่ผ่านมา และในเวอร์ชันก่อนหน้าทั้งหมด
โดยทาง SolarWinds ได้ปล่อย Hotfix สำหรับแก้ไขช่องโหว่ออกมาแล้วในขณะที่กำลังดำเนินการแก้ไขปัญหาอย่างถาวรต่อไป โดยผู้ใช้งานผลิตภัณฑ์ Serv-U เวอร์ชัน 15.2.3 HF1 ให้ทำติดตั้ง hotfix (HF2) โดยด่วนเพื่อปิดช่องโหว่และสำหรับผู้ใช้งาน Serv-U ที่เวอร์ชันเก่ากว่าควรทำการอัพเดทเป็นเวอร์ชั่นปัจจุบันและทำติดตั้ง hotfix (HF2) และการปิด SSH สามารถช่วยป้องกันการถูกโจมตีได้
SolarWinds คือ บริษัทที่เป็นศูนย์กลางของการโจมตี Supply Chain Attack ที่ได้มีการโจมตีหน่วยงานของสหรัฐฯ 9 แห่งและบริษัทเอกชน 100 แห่ง โดยเกิดจากการผู้โจมตีได้เข้าถึง และมีการปล่อยอัปเดตซอฟแวร์ที่เป็นอันตรายที่เป็นผลิตภัณฑ์ SolarWinds ให้ลูกค้าประมาณ 18,000 รายของบริษัท SolarWinds ในบรรดาลูกค้าเหล่านั้นมีประมาณ 110 รายถูกโจมตีหลังจากนั้นด้วยการติดตั้ง Payload ซึ่งใช้ในการขโมยข้อมูลที่มีความสำคัญออกไป โดยมัลแวร์ที่ถูกใช้ในแคมเปญมีชื่อว่า Sunburst
ในช่วงปลายปี 2020 ช่องโหว่ Zero-Day ของผลิตภัณฑ์ Orion ของ Solarwinds ได้ถูกโจมตีโดยผู้โจมตีกลุ่มอื่นที่นักวิจัยพบความเชื่อมโยงกับรัฐบาลจีน โดยผู้โจมตีเหล่านี้จะมีการติดตั้งมัลแวร์ที่ชื่อว่า SuperNova และมีการกำหนดเป้าหมายไปที่ SolarWinds และมีหน่วยงานของรัฐบาลสหรัฐฯ อย่างน้อยหนึ่งหน่วยงานตกเป็นเป้าหมายของการดำเนินการครั้งนี้
รัฐบาลกลางของสหรัฐฯ ได้ระบุว่าการโจมตีรูปแบบ Supply Chain Attack ในปีที่ผ่านมาเกิดจากแฮกเกอร์ที่ทำงานให้กับ Russia’s Foreign Intelligence Service (SVR) ได้ใช้แคมเปญมัลแวร์ที่มุ่งเป้าไปที่รัฐบาล, หน่วยงานทางการเมือง และองค์กรอื่นๆ ในประเทศต่างๆ รวมถึงเยอรมนี อุซเบกิสถาน, เกาหลีใต้ และสหรัฐอเมริกา รวมถึงการโจมตีกระทรวงการต่างประเทศสหรัฐฯ และทำเนียบขาวในปี 2014
ผลกระทบ
- Serv-U เวอร์ชัน 15.2.3 HF1 และ Serv-U ที่เวอร์ชันต่ำกว่านั้น
การแก้ไข
- ทำการดาวน์โหลดและติดตั้ง Hotfix ที่ทาง SolarWinds ปล่อยออกมาเพื่อปิดช่องโหว่
ที่มา : arstechnica