SolarWinds Açığı Tüm Dünyayı Vurdu!

Kurumların ve devletlerin bir yandan pandemi ile savaşırken diğer yandan da maruz kaldıkları saldırılar ile gündeme geldiği bu günlerde, belki de bu saldırıların ana aktörü olduğunu düşündüğümüz bir haber de SolarWinds tarafından geldi. Dünya üzerinde 18.000’e yakın müşterinin üründeki açıktan etkilendiği ve büyük veri kayıpları ile, sistemlerinde backdoor’lar (arka kapı) oluştuğu tespit edildi.


İşin en acı boyutu ise, üründeki açığın Mart 2020’de meydana gelmesi ve şirketin bunu tespit edememesi durumudur. Şirket ilgili açığı 13 Aralık günü açıklayana kadar, bu açıktan etkilenen binlerce kullanıcının verileri çalındı, sistemleri hacklendi ve maddi/manevi büyük kayıplar yaşandı.


Yaşanan saldırının temelinde mart ayında güncellenen bir “.dll” dosyasının sebep olduğu ve yapılan her versiyon güncellemesinde bu zararlı yazılım içeren dosyanın da enfekte olmuş halinin bulunduğu görülmektedir. Zararlı içeriğin cihazları nasıl etkilediği incelendiğinde ise zararlı yazılımın 2 haftaya kadar varan bir süre boyunca pasif olarak kaldığı ve sonra aktif olduğu tespit ediliyor. Dosya aktarımı yaptığı, yönetici hesaplarını ele geçirdiği, sunucularda servisleri durduğu ve sistemleri yeniden başlattığı tespit edildi. Tespit edilen bu zararlı içeriğe FireEye tarafında “SUNBURST” adı verilirken, Microsoft tarafından ise Windows Defender ile tespit edilen içerik “Solorigate” olarak isimlendirilmiştir.


Binlerce müşteriyi etkileyen bu saldırının tespiti sonrasında, alınması gereken tedbirler ve atılacak adımları sıralayacak olursak;


  • SolarWinds Orion sisteminin kurulu olduğu sistemi acilen ağınızdan izole edin. Erişimini kesin,

  • SolarWinds ürününün kurulu olduğu tüm sistemlerinizi yeniden kurun ve yeni yönetici hesaplarını güçlü ve farklı şifreler ile yeniden oluşturun,

  • Mevcut sistemlerinizdeki "SolarWinds.Orion.Core.BusinessLayer.dll" isimli dosyanın varlığını tespit edip güncelleyin,

  • Loglar aracılığı ile SolarWinds Orion’un eriştiği tüm sistemlerinizi tarayın ve temizleyin,

  • Kurumdaki tüm yetkili admin hesaplarının açık oturumlarını kapatın ve şifrelerini güncelleyin,

  • Ürün için destek aldığınız danışman firmanıza danışarak, diğer tedbirler ve çözümler hakkında görüşme sağlayın.




Detaylı bilgi için ticket@zerosecond.com.tr adresinden uzmanlarımıza başvurabilirsiniz.

Son yazılar
Arşiv