Η Microsoft δημοσίευσε πρόσθετες λεπτομέρειες για την επίθεση που έθεσε σε κίνδυνο την υποδομή του SolarWinds η οποία υλοποίησε μια κερκόπορτα στην πλατφόρμα διαχείρισης υποδομής δικτύου SolarWinds Orion, η οποία χρησιμοποιήθηκε στο εταιρικό δίκτυο της Microsoft.
Η ανάλυση του περιστατικού έδειξε ότι οι εισβολείς απέκτησαν πρόσβαση σε ορισμένους εταιρικούς λογαριασμούς της Microsoft και κατά τον έλεγχο, αποκαλύφθηκε ότι αυτοί οι λογαριασμοί χρησιμοποιήθηκαν για πρόσβαση σε εσωτερικά αποθετήρια με κωδικό προϊόντος της Microsoft.
Υποστηρίζεται ότι τα δικαιώματα των παραβιασμένων λογαριασμών επιτρέπεται μόνο να δουν τον κωδικό, αλλά δεν παρείχε τη δυνατότητα πραγματοποίησης αλλαγών.
Η Microsoft έχει διαβεβαιώσει τους χρήστες ότι η πρόσθετη επαλήθευση έχει επιβεβαιώσει ότι δεν έχουν προωθηθεί κακόβουλες αλλαγές στο αποθετήριο.
Επιπλέον, δεν βρέθηκαν ίχνη πρόσβασης των εισβολέων στα δεδομένα πελατών της Microsoft, επιχειρεί να υπονομεύσει τις παρεχόμενες υπηρεσίες και τη χρήση της υποδομής της Microsoft για την πραγματοποίηση επιθέσεων σε άλλες εταιρείες.
Από την επίθεση στην SolarWinds οδήγησε στην εισαγωγή μιας κερκόπορτας όχι μόνο στο δίκτυο της Microsoft, αλλά επίσης σε πολλές άλλες εταιρείες και κρατικούς φορείς που χρησιμοποιούν το προϊόν SolarWinds Orion.
Η ενημέρωση του backdoor του SolarWinds Orion έχει εγκατασταθεί στην υποδομή περισσότερων από 17.000 πελατών της SolarWinds, συμπεριλαμβανομένων 425 από τις πληγείσες εταιρείες του Fortune 500, καθώς και μεγάλα χρηματοπιστωτικά ιδρύματα και τράπεζες, εκατοντάδες πανεπιστήμια, πολλά τμήματα του στρατού των ΗΠΑ και του Ηνωμένου Βασιλείου, ο Λευκός Οίκος, η NSA, το Υπουργείο Εξωτερικών των ΗΠΑ και το Ευρωπαϊκό Κοινοβούλιο.
Οι πελάτες της SolarWinds περιλαμβάνουν επίσης μεγάλες εταιρείες όπως Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 και Siemens.
η πίσω πόρτα επέτρεψε την απομακρυσμένη πρόσβαση στο εσωτερικό δίκτυο των χρηστών του SolarWinds Orion. Η κακόβουλη αλλαγή κυκλοφόρησε με τις εκδόσεις SolarWinds Orion 2019.4 – 2020.2.1 που κυκλοφόρησαν από τον Μάρτιο έως τον Ιούνιο του 2020.
Κατά την ανάλυση περιστατικού, Μια περιφρόνηση για την ασφάλεια προέκυψε από μεγάλους παρόχους εταιρικών συστημάτων. Υποτίθεται ότι η πρόσβαση στην υποδομή SolarWinds αποκτήθηκε μέσω ενός λογαριασμού Microsoft Office 365.
Οι εισβολείς απέκτησαν πρόσβαση στο πιστοποιητικό SAML που χρησιμοποιείται για τη δημιουργία ψηφιακών υπογραφών και χρησιμοποίησαν αυτό το πιστοποιητικό για να δημιουργήσουν νέα διακριτικά που επέτρεπαν προνομιακή πρόσβαση στο εσωτερικό δίκτυο.
Πριν από αυτό, τον Νοέμβριο του 2019, εξωτερικοί ερευνητές ασφάλειας παρατήρησαν τη χρήση του ασήμαντου κωδικού πρόσβασης "SolarWind123" για πρόσβαση εγγραφής στον διακομιστή FTP με ενημερώσεις προϊόντων SolarWinds, καθώς και τη διαρροή του κωδικού πρόσβασης ενός από τους υπαλλήλους. από τη SolarWinds στο το δημόσιο αποθετήριο git.
Επίσης, μετά τον εντοπισμό του backdoor, η SolarWinds συνέχισε να διανέμει ενημερώσεις με κακόβουλες αλλαγές για κάποιο χρονικό διάστημα και δεν ανακάλεσε αμέσως το πιστοποιητικό που χρησιμοποιήθηκε για την ψηφιακή υπογραφή των προϊόντων της (το πρόβλημα προέκυψε στις 13 Δεκεμβρίου και το πιστοποιητικό ανακλήθηκε στις 21 Δεκεμβρίου). ).
Σε απάντηση καταγγελιών σχετικά με συστήματα ειδοποίησης που εκδίδονται από συστήματα ανίχνευσης κακόβουλου λογισμικού, Οι πελάτες ενθαρρύνθηκαν να απενεργοποιήσουν την επαλήθευση αφαιρώντας τις ψευδώς θετικές προειδοποιήσεις.
Πριν από αυτό, οι εκπρόσωποι της SolarWinds επέκριναν ενεργά το μοντέλο ανάπτυξης ανοιχτού κώδικα, συγκρίνοντας τη χρήση ανοιχτού κώδικα με την κατανάλωση ενός βρώμικου πιρουνιού και δηλώνοντας ότι ένα ανοιχτό μοντέλο ανάπτυξης δεν αποκλείει την εμφάνιση δεικτών και μόνο ένα ιδιόκτητο μοντέλο μπορεί να παρέχει έλεγχο στον κώδικα .
Επιπλέον, το Υπουργείο Δικαιοσύνης των ΗΠΑ αποκάλυψε πληροφορίες ότι οι εισβολείς απέκτησαν πρόσβαση στον διακομιστή αλληλογραφίας του Υπουργείου βασίζεται στην πλατφόρμα Microsoft Office 365. Από την επίθεση πιστεύεται ότι διέρρευσαν τα περιεχόμενα των γραμματοκιβωτίων περίπου 3.000 υπαλλήλων του Υπουργείου.
Από την πλευρά τους, οι New York Times και το Reuters, χωρίς να προσδιορίζεται η πηγή, ανέφερε έρευνα του FBI σχετικά με μια πιθανή σύνδεση μεταξύ του JetBrains και του συμβιβασμού της SolarWinds. Η SolarWinds χρησιμοποίησε το σύστημα συνεχούς ολοκλήρωσης TeamCity που παρέχεται από την JetBrains.
Υποτίθεται ότι οι εισβολείς θα μπορούσαν να έχουν αποκτήσει πρόσβαση λόγω εσφαλμένων διαμορφώσεων ή της χρήσης μιας παρωχημένης έκδοσης του TeamCity που περιέχει μη επιδιορθωμένα τρωτά σημεία.
Ο διευθυντής του JetBrains απέρριψε τις εικασίες για τη σύνδεση εταιρεία με την επίθεση και ανέφερε ότι οι αρχές επιβολής του νόμου ή εκπρόσωποι της SolarWinds δεν επικοινώνησαν μαζί τους σχετικά με έναν πιθανό συμβιβασμό της TeamCity στην υποδομή SolarWinds.
πηγή: https://msrc-blog.microsoft.com