مهاجمان SolarWinds موفق به دسترسی به کد مایکروسافت شدند

مایکروسافت جزئیات بیشتری را منتشر کرده است در مورد حمله که زیرساخت های SolarWinds که یک درب پشتی را در پلت فرم مدیریت زیرساخت شبکه SolarWinds Orion پیاده سازی کرد ، که در شبکه شرکت مایکروسافت مورد استفاده قرار گرفت.

تحلیل حادثه نشان داد که مهاجمان به برخی از حسابهای شرکت مایکروسافت دسترسی پیدا کردند و در حین حسابرسی ، مشخص شد که از این حساب ها برای دسترسی به مخازن داخلی با کد محصول مایکروسافت استفاده شده است.

ادعا می شود که حقوق حسابهای به خطر افتاده فقط اجازه مشاهده کد را دارد، اما توانایی ایجاد تغییرات را فراهم نکرد.

مایکروسافت به کاربران اطمینان داده است که تأیید بیشتر تأیید کرده است که هیچ تغییر مخربی در مخزن ایجاد نشده است.

علاوه بر این، هیچ اثری از دسترسی مهاجمان به داده های مشتری مایکروسافت یافت نشد ، تلاش برای به خطر انداختن خدمات ارائه شده و استفاده از زیرساخت های مایکروسافت برای انجام حملات به شرکت های دیگر.

از زمان حمله به SolarWinds منجر به معرفی یک درب پشتی شد نه تنها در شبکه مایکروسافت ، بلکه همچنین در بسیاری از شرکت ها و سازمان های دولتی دیگر با استفاده از محصول SolarWinds Orion.

SolarWinds Orion به روزرسانی درب پشتی در زیرساخت بیش از 17.000 مشتری نصب شده است از SolarWinds ، از جمله 425 از فورچون 500 آسیب دیده ، و همچنین موسسات مالی بزرگ و بانک ها ، صدها دانشگاه ، بسیاری از بخش های ارتش ایالات متحده و انگلیس ، کاخ سفید ، NSA ، وزارت امور خارجه ایالات متحده ایالات متحده و پارلمان اروپا.

مشتریان SolarWinds نیز شامل شرکت های بزرگ می شوند مانند سیسکو ، AT&T ، اریکسون ، NEC ، Lucent ، MasterCard ، Visa USA ، سطح 3 و زیمنس.

در پشتی اجازه دسترسی از راه دور به شبکه داخلی کاربران SolarWinds Orion را می دهد. این تغییر مخرب با نسخه های SolarWinds Orion 2019.4 - 2020.2.1 از مارس تا ژوئن 2020 منتشر شد.

در حین تجزیه و تحلیل حادثه ، بی توجهی به امنیت از طریق ارائه دهندگان سیستم های بزرگ شرکتی بوجود آمده است. فرض بر این است که دسترسی به زیرساخت SolarWinds از طریق حساب Microsoft Office 365 بدست آمده است.

مهاجمان به گواهینامه SAML که برای تولید امضای دیجیتال استفاده می شود دسترسی پیدا کردند و از این گواهی برای تولید نشانه های جدیدی که امکان دسترسی ممتاز به شبکه داخلی را دارند استفاده کردند.

پیش از این ، در نوامبر 2019 ، محققان امنیتی خارج از کشور از استفاده از رمز عبور بی اهمیت "SolarWind123" برای دسترسی نوشتن به سرور FTP با به روزرسانی های محصول SolarWinds و همچنین نشت رمز کارمند استفاده کردند. از SolarWinds در مخزن git عمومی.

علاوه بر این ، پس از شناسایی درب پشتی ، SolarWinds برای مدتی به توزیع به روزرسانی با تغییرات مخرب ادامه داد و بلافاصله گواهی مورد استفاده برای امضای دیجیتالی محصولات خود را لغو نکرد (این مسئله در 13 دسامبر به وجود آمد و گواهی در 21 دسامبر لغو شد )

در پاسخ به شکایات در سیستم های هشدار صادر شده توسط سیستم های شناسایی بدافزار ، به مشتریان توصیه شد با حذف هشدارهای مثبت کاذب ، تأیید را غیرفعال کنند.

قبل از آن ، نمایندگان SolarWinds به طور فعال با انتقاد از مدل توسعه منبع باز ، مقایسه استفاده از منبع باز با خوردن چنگال کثیف و بیان اینکه یک مدل توسعه باز جلوی ظاهر نشانک ها را نمی گیرد و فقط یک مدل اختصاصی می تواند ارائه دهد ، کنترل کد.

علاوه بر این ، وزارت دادگستری ایالات متحده اطلاعاتی را فاش کرد که مهاجمان به سرور نامه وزارت دسترسی پیدا کردند بر اساس پلتفرم Microsoft Office 365. اعتقاد بر این است که این حمله محتوای صندوق های پستی حدود 3.000 کارمند وزارت را درز کرده است.

به نوبه خود ، نیویورک تایمز و رویترز ، بدون جزئیات منبع، تحقیقات FBI را گزارش داد در رابطه احتمالی بین JetBrains و تعامل SolarWinds. SolarWinds از سیستم ادغام مداوم TeamCity که توسط JetBrains ارائه می شود استفاده کرد.

فرض بر این است که مهاجمان می توانند به دلیل تنظیمات نادرست یا استفاده از نسخه منسوخ TeamCity که دارای آسیب پذیری های وصله نشده است ، دسترسی پیدا کنند.

مدیر JetBrains حدس و گمان در مورد اتصال را رد کرد این شرکت با حمله و اظهار داشت که توسط سازمان های اجرای قانون یا نمایندگان SolarWinds در مورد سازش احتمالی TeamCity در زیرساخت های SolarWinds با آنها تماس گرفته نشده است.

Fuente: https://msrc-blog.microsoft.com


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

اولین کسی باشید که نظر

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند با *

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.