Microsoft je objavio dodatne detalje o napadu koja je ugrozila infrastrukturu SolarWinds koji je implementirao backdoor na platformi za upravljanje mrežnom infrastrukturom SolarWinds Orion, koja je korištena u Microsoftovoj korporativnoj mreži.
Analiza incidenta je to pokazala napadači su dobili pristup nekim Microsoftovim korporativnim računima i tijekom revizije otkriveno je da su ti računi korišteni za pristup internim spremištima s Microsoftovim kodom proizvoda.
Navodi se da prava oštećenih računa dopuštala su samo da vide kôd, ali nisu pružili mogućnost promjene.
Microsoft je uvjeravao korisnike da je daljnja provjera potvrdila da u spremištu nisu izvršene nikakve zlonamjerne promjene.
Osim toga, nisu pronađeni tragovi pristupa napadača Microsoftovim podacima o kupcima, pokušaji kompromitiranja pruženih usluga i korištenja Microsoftove infrastrukture za provođenje napada na druge tvrtke.
Od napada na SolarWinds dovelo je do uvođenja stražnjeg vrata ne samo na Microsoftovoj mreži, već također u mnogim drugim tvrtkama i vladinim agencijama pomoću proizvoda SolarWinds Orion.
Ažuriranje backdoor-a za SolarWinds Orion je instaliran u infrastrukturi više od 17.000 XNUMX kupaca iz SolarWindsa, uključujući 425 pogođenog Fortune 500, kao i velike financijske institucije i banke, stotine sveučilišta, mnogi odjeli američke vojske i Velike Britanije, Bijela kuća, NSA, američki State Department SAD i Europski parlament.
Kupci SolarWindsa također uključuju velike tvrtke kao što su Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 i Siemens.
Backdoor omogućio daljinski pristup internoj mreži korisnika SolarWinds Orion. Zlonamjerna promjena isporučena je s verzijama SolarWinds Orion 2019.4 - 2020.2.1 objavljenim od ožujka do lipnja 2020.
Tijekom analize incidenta, zanemarivanje sigurnosti pojavilo se kod velikih dobavljača korporativnih sustava. Pretpostavlja se da je pristup infrastrukturi SolarWinds dobiven putem računa Microsoft Office 365.
Napadači su dobili pristup SAML certifikatu koji se koristi za generiranje digitalnih potpisa i koristili su ovaj certifikat za generiranje novih tokena koji su omogućavali privilegirani pristup internoj mreži.
Prije toga, u studenom 2019., vanjski istraživači sigurnosti primijetili su upotrebu trivijalne lozinke "SolarWind123" za pristup pisanju na FTP poslužitelj s ažuriranjima proizvoda SolarWinds, kao i curenje lozinke zaposlenika. iz SolarWindsa u javnom git spremištu.
Uz to, nakon što je identificirana pozadinska vrata, SolarWinds je neko vrijeme nastavio distribuirati ažuriranja sa zlonamjernim promjenama i nije odmah opozvao certifikat koji se koristi za digitalno potpisivanje njegovih proizvoda (problem je nastao 13. prosinca, a certifikat je opozvan 21. prosinca ).
Kao odgovor na pritužbe na sustavima upozorenja koje izdaju sustavi za otkrivanje zlonamjernog softvera, Poticalo se kupcima da onemoguće provjeru uklanjanjem lažno pozitivnih upozorenja.
Prije toga, predstavnici SolarWindsa aktivno su kritizirali razvojni model otvorenog koda, uspoređujući upotrebu otvorenog koda s pojesti prljave vilice i navodeći da otvoreni razvojni model ne isključuje pojavu oznaka i samo vlasnički model može kontrola nad kodom.
Uz to, američko Ministarstvo pravosuđa otkrilo je informacije koje napadači su dobili pristup poštanskom poslužitelju Ministarstva zasnovan na platformi Microsoft Office 365. Vjeruje se da je napad procurio sadržaj poštanskih sandučića oko 3.000 zaposlenika Ministarstva.
Sa svoje strane, The New York Times i Reuters, bez detalja o izvoru, izvijestio je FBI-jevu istragu o mogućoj vezi između JetBrainsa i angažmana SolarWinds. SolarWinds koristio je TeamCity sustav kontinuirane integracije koji je isporučio JetBrains.
Pretpostavlja se da su napadači mogli dobiti pristup zbog netočnih postavki ili korištenja zastarjele verzije TeamCityja koja sadrži nekrpane ranjivosti.
Direktor JetBrainsa odbacio je nagađanja o povezanosti kompanije s napadom i naznačio da ih agencije za provođenje zakona ili predstavnici SolarWindsa nisu kontaktirali u vezi s mogućim kompromisom TeamCitya na SolarWinds infrastrukturi.
izvor: https://msrc-blog.microsoft.com