התרעה דחופה: תקיפת שרשרת אספקה נגרמה מתוכנת SolarWinds

חברת FireEye פרסמה כי חברת ,SolarWinds יצרנית תוכנת Orion לניטור וניהול מערכות ,IT הותקפה ועדכוני התוכנה של מוצר זה נוצלו להדבקת לקוחות החברה במתווה שרשרת אספקה.

https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

כצפוי תוכנות שליטה ובקרה מהוות פוטנציאל תקיפה "דלת אחורית" למערכות הארגוניות !!!

אופן ההטמעה של מערכות הניטור חייב להיות ברשת נפרדת ושרתים נפרדים וממודר ברמה גבוהה.

1. לפי פרסומי החברה, הגרסאות שנוצלו לתקיפה הן 5 HF 2019.4 עד ,2020.2.1 שפורסמו בין מרץ ליוני .2020 התוקפים שינו רכיבים שונים בקבצי העדכון.

2. חברת Fireeye פרסמה פרטים לגבי הפוגען המותקן במסגרת תקיפה זו, המכונה ,SUNBURST וכן מידע לגבי האפשרויות לזיהויו. פורסמו חוקים עבור המנועים החינמיים YARA (המשמש לזיהוי קבצים זדוניים,) Snort (המשמש לזיהוי תעבורת רשת זדונית,) והAV- החינמי ,ClamAV ולמוצר מסחרי של החברה. פורסמו גם מזהי קבצים.

3. חברת מיקרוסופט פרסמה גם היא מזהים עבור פוגען זה.

4.  ,CISA זרוע הDHS- לאבטחת מידע וסייבר, הנחתה את כל הגופים הפדרליים המשתמשים במוצר זה, לנתקו מהרשת או לכבות את השרתים.

ראה תאור והסבר להתראה ממערך הסייבר:

https://www.gov.il/he/departments/publications/reports/solarwinds_orion