SolarWinds โดนแฮกเกอร์ฝังโค้ดมัลแวร์ลงอัพเดตส่งลูกค้า รอรับคำสั่งจากแฮกเกอร์

by lew
14 December 2020 - 06:38

SolarWinds ผู้ผลิตซอฟต์แวร์มอนิเตอร์เครือข่ายถูกแฮกเกอร์ฝังมัลแวร์เข้าไปยังอัพเดตซอฟต์แวร์สำหรับลูกค้าได้สำเร็จ ทำให้ผู้ใช้ที่ติดตั้งซอฟต์แวร์ SolarWinds Orion เวอร์ชั่น 2019.4 ไปจนถึง 2020.2.1 มีความเสี่ยงถูกโจมตี ล่าสุดทางบริษัทออกแพตช์ 2020.2.1 HF1 มาแล้ว ควรเร่งอัพเดตทันที

ทางด้าน FireEye ออกมารายงานถึงมัลแวร์ที่ฝังมาใน SolarWinds Orion โดยตั้งชื่อว่า SUNBURST เป็นมัลแวร์ที่พยายามหลบซ่อนตัวจากการตรวจจับ หลังเหยื่อหลงติดตั้งอัพเดตที่จริงๆ เป็นมัลแวร์แล้ว ตัวมัลแวร์จะไม่ทำอะไรอยู่ช่วงหนึ่งไม่เกินสองสัปดาห์ จากนั้นมัลแวร์จึงพยายามติดต่อกลับศูนย์ควบคุม แล้วพยายามส่งข้อมูลที่ดูคล้าย SolarWinds API

มัลแวร์มีรับคำสั่งจากเซิร์ฟเวอร์ได้หลากหลาย ทั้งเก็บข้อมูลเครื่อง, รันโปรแกรม, เช็คค่าแฮชของไฟล์ในเครื่อง, เช็คค่ารีจิสตรี เป็นต้น

ทาง SolarWinds แนะนำให้รีบอัพเดต แต่หากอัพเดตไม่ได้ทาง FireEye แนะนำให้ตัดการเชื่อมต่อจากเซิร์ฟเวอร์ SolarWinds ออกสู่อินเทอร์เน็ต, ตัดการเชื่อมต่อเซิร์ฟเวอร์ SolarWinds ไปยังเซิร์ฟเวอร์สำคัญ, รวมถึงเปลี่ยนรหัสของบัญชีที่เคยเข้าถึงเซิร์ฟเวอร์ SolarWinds

ที่มา - SolarWinds, FireEye

Blognone Jobs Premium