Microsoft je objavio dodatne detalje o napadu koji je ugrozio infrastrukturu SolarWinds koji je implementirao backdoor u platformu za upravljanje mrežnom infrastrukturom SolarWinds Orion, koja se koristila na Microsoftovoj korporativnoj mreži.
Analiza incidenta je to pokazala napadači su dobili pristup nekim Microsoft korporativnim nalozima a tokom revizije je otkriveno da su ovi nalozi korišćeni za pristup internim repozitorijumima sa kodom Microsoft proizvoda.
Navodi se da prava kompromitovanih naloga dozvoljavaju samo pregled koda, ali nisu dali mogućnost izmjene.
Microsoft je uvjerio korisnike da je dodatna provjera potvrdila da u spremište nisu unesene nikakve zlonamjerne promjene.
Takođe, nisu pronađeni nikakvi tragovi pristupa napadača podacima Microsoftovih klijenata, pokušava kompromitovati pružene usluge i korištenje Microsoft infrastrukture za izvođenje napada na druge kompanije.
Od napada na SolarWinds dovelo do uvođenja backdoor-a ne samo na Microsoft mreži, već također u mnogim drugim kompanijama i vladinim agencijama koji koriste SolarWinds Orion proizvod.
SolarWinds Orion backdoor ažuriranje je ugrađen u infrastrukturu više od 17.000 klijenata SolarWinds-a, uključujući 425 od 500 pogođenih kompanija sa liste Fortune 500, kao i velike finansijske institucije i banke, stotine univerziteta, mnoge divizije američke i britanske vojske, Bijelu kuću, NSA, američki State Department SAD i Evropski parlament.
SolarWinds kupci također uključuju velike kompanije kao što su Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 i Siemens.
Zadnja vrata Omogućen daljinski pristup internoj mreži za SolarWinds Orion korisnike. Zlonamjerna promjena je isporučena uz SolarWinds Orion verzije 2019.4 – 2020.2.1 objavljene od marta do juna 2020.
Tokom analize incidenta, Prezir prema sigurnosti pojavio se od velikih provajdera korporativnih sistema. Pretpostavlja se da je pristup infrastrukturi SolarWinds dobijen preko Microsoft Office 365 naloga.
Napadači su dobili pristup SAML certifikatu koji se koristi za generiranje digitalnih potpisa i koristili ovaj certifikat za generiranje novih tokena koji su omogućili privilegirani pristup internoj mreži.
Prije toga, u novembru 2019., vanjski istraživači sigurnosti su primijetili korištenje trivijalne lozinke “SolarWind123” za pristup upisivanju na FTP server sa ažuriranjima proizvoda SolarWinds, kao i curenje lozinke jednog od zaposlenika SolarWinds-a u javno git spremište.
Osim toga, nakon što je backdoor identificiran, SolarWinds je nastavio distribuirati ažuriranja sa zlonamjernim promjenama neko vrijeme i nije odmah opozvao certifikat koji je korišten za digitalno potpisivanje svojih proizvoda (problem je nastao 13. decembra, a certifikat je opozvan 21. decembra).
Kao odgovor na žalbe o sistemima upozorenja koje izdaju sistemi za otkrivanje zlonamjernog softvera, Kupci su ohrabreni da onemoguće verifikaciju uklanjanjem lažno pozitivnih upozorenja.
Prije toga, predstavnici SolarWinds-a aktivno su kritizirali model razvoja otvorenog koda, upoređujući korištenje otvorenog koda sa jedenjem prljave vilice i navodeći da otvoreni razvojni model ne isključuje pojavu bookmarka i samo vlasnički model može osigurati kontrolu nad kodom.
Osim toga, američko Ministarstvo pravde otkrilo je informaciju o tome Napadači su dobili pristup mail serveru Ministarstva baziran na platformi Microsoft Office 365. Vjeruje se da je napad procurio sadržaj poštanskih sandučića oko 3.000 zaposlenih u Ministarstvu.
Sa svoje strane, The New York Times i Reuters, bez detaljnog navođenja izvora, izvijestio je istragu FBI-a o mogućoj vezi između JetBrainsa i kompromisa SolarWinds-a. SolarWinds je koristio TeamCity sistem kontinuirane integracije koji je obezbedio JetBrains.
Pretpostavlja se da su napadači mogli dobiti pristup zbog pogrešnih konfiguracija ili korištenja zastarjele verzije TeamCityja koja sadrži nezakrpljene ranjivosti.
Izvršni direktor JetBrainsa odbacuje spekulacije o povezivanju kompanije sa napadom i naznačili da ih nisu kontaktirale agencije za provođenje zakona ili predstavnici SolarWinds-a o mogućem kompromitovanju TeamCity infrastrukture SolarWinds-a.
Izvor: https://msrc-blog.microsoft.com