أصدرت Microsoft تفاصيل إضافية عن الهجوم التي أساءت إلى البنية التحتية لـ سولارويندز التي نفذت بابًا خلفيًا على منصة إدارة البنية التحتية لشبكة SolarWinds Orion ، والتي تم استخدامها على شبكة شركة Microsoft.
أظهر تحليل الحادث أن تمكن المهاجمون من الوصول إلى بعض حسابات شركة Microsoft وأثناء التدقيق ، تم الكشف عن استخدام هذه الحسابات للوصول إلى المستودعات الداخلية برمز منتج Microsoft.
يزعم أن يسمح لحقوق الحسابات المخترقة برؤية الرمز فقط، لكنهم لم يوفروا القدرة على إجراء تغييرات.
أكدت Microsoft للمستخدمين أن المزيد من التحقق قد أكد عدم إجراء تغييرات ضارة على المستودع.
وبالإضافة إلى ذلك، لم يتم العثور على أي أثر لوصول المهاجمين إلى بيانات عملاء Microsoft ، يحاول اختراق الخدمات المقدمة واستخدام البنية التحتية لـ Microsoft لتنفيذ هجمات على الشركات الأخرى.
منذ الهجوم على SolarWinds أدى إلى إدخال الباب الخلفي ليس فقط على شبكة Microsoft ، ولكن أيضًا في العديد من الشركات والهيئات الحكومية الأخرى باستخدام منتج SolarWinds Orion.
تحديث مستتر SolarWinds Orion تم تركيبها في البنية التحتية لأكثر من 17.000 عميل من SolarWinds ، بما في ذلك 425 من Fortune 500 المتضررة ، بالإضافة إلى المؤسسات المالية والبنوك الكبرى ومئات الجامعات والعديد من أقسام الجيش الأمريكي والمملكة المتحدة والبيت الأبيض و NSA ووزارة الخارجية الأمريكية الولايات المتحدة الأمريكية والبرلمان الأوروبي.
يشمل عملاء SolarWinds أيضًا الشركات الكبرى مثل Cisco و AT&T و Ericsson و NEC و Lucent و MasterCard و Visa USA و Level 3 و Siemens.
الباب الخلفي يسمح بالوصول عن بعد إلى الشبكة الداخلية لمستخدمي SolarWinds Orion. تم شحن التغيير الضار مع إصدارات SolarWinds Orion 2019.4 - 2020.2.1 التي تم إصدارها من مارس إلى يونيو 2020.
أثناء تحليل الحادث ، ظهر تجاهل الأمن من مزودي أنظمة الشركات الكبيرة. من المفترض أن الوصول إلى البنية الأساسية لـ SolarWinds تم الحصول عليه من خلال حساب Microsoft Office 365.
حصل المهاجمون على حق الوصول إلى شهادة SAML المستخدمة لإنشاء توقيعات رقمية واستخدموا هذه الشهادة لإنشاء رموز مميزة جديدة تسمح بالوصول المميز إلى الشبكة الداخلية.
قبل ذلك ، في نوفمبر 2019 ، لاحظ باحثو الأمن الخارجيون استخدام كلمة المرور التافهة "SolarWind123" للوصول للكتابة إلى خادم FTP مع تحديثات منتج SolarWinds ، بالإضافة إلى تسرب كلمة مرور الموظف. من SolarWinds في مستودع git العام.
بالإضافة إلى ذلك ، بعد تحديد الباب الخلفي ، استمرت SolarWinds في توزيع التحديثات مع التغييرات الضارة لبعض الوقت ولم تقم على الفور بإلغاء الشهادة المستخدمة لتوقيع منتجاتها رقميًا (نشأت المشكلة في 13 ديسمبر وتم إلغاء الشهادة في 21 ديسمبر ).
ردا على الشكاوى على أنظمة التنبيه الصادرة عن أنظمة الكشف عن البرامج الضارة ، تم تشجيع العملاء على تعطيل التحقق من خلال إزالة التحذيرات الإيجابية الكاذبة.
قبل ذلك ، انتقد ممثلو SolarWinds بنشاط نموذج تطوير المصدر المفتوح ، حيث قارنوا استخدام المصدر المفتوح بأكل شوكة قذرة وذكروا أن نموذج التطوير المفتوح لا يمنع ظهور الإشارات المرجعية ولا يمكن إلا لنموذج الملكية تقديمه السيطرة على الكود.
بالإضافة إلى ذلك ، كشفت وزارة العدل الأمريكية عن المعلومات التي تمكن المهاجمون من الوصول إلى خادم بريد الوزارة على منصة مايكروسوفت أوفيس 365. ويعتقد أن الهجوم أدى إلى تسريب محتويات علب بريد حوالي 3.000 موظف بالوزارة.
من جانبهم ، نيويورك تايمز ورويترز ، دون تفصيل المصدر، أبلغت عن تحقيق مكتب التحقيقات الفيدرالي على ارتباط محتمل بين JetBrains ومشاركة SolarWinds. استخدمت SolarWinds نظام التكامل المستمر TeamCity المقدم من JetBrains.
من المفترض أن المهاجمين قد تمكنوا من الوصول بسبب الإعدادات غير الصحيحة أو استخدام نسخة قديمة من TeamCity تحتوي على ثغرات أمنية غير مصححة.
نفى مدير JetBrains التكهنات حول الاتصال الشركة التي تعرضت للهجوم وأشارت إلى أنه لم يتم الاتصال بها من قبل وكالات إنفاذ القانون أو ممثلي SolarWinds بشأن حل وسط TeamCity محتمل بشأن البنية التحتية SolarWinds.
مصدر: https://msrc-blog.microsoft.com