תוקפי SolarWinds הצליחו להשיג גישה לקוד מיקרוסופט

Darkcrizt

4 דקות

מיקרוסופט פרסמה פרטים נוספים על ההתקפה שפגעה בתשתית של השמש שהטמיע דלת אחורית בפלטפורמת ניהול תשתיות הרשת SolarWinds, ששימשה את הרשת הארגונית של מיקרוסופט.

ניתוח האירוע הראה זאת התוקפים קיבלו גישה לחשבונות ארגוניים מסוימים של מיקרוסופט ובמהלך הביקורת התגלה כי חשבונות אלה שימשו לגישה למאגרים פנימיים עם קוד מוצר של מיקרוסופט.

נטען כי זכויות החשבונות שנפגעו רק אפשרו לראות את הקוד, אך הם לא סיפקו את היכולת לבצע שינויים.

מיקרוסופט הבטיחה למשתמשים כי אימות נוסף אישר כי לא נעשו שינויים זדוניים במאגר.

בנוסף, לא נמצאו עקבות של גישה של התוקפים לנתוני הלקוחות של מיקרוסופט, מנסה לפגוע בשירותים הניתנים ובשימוש בתשתית של מיקרוסופט לביצוע התקפות על חברות אחרות.

מאז ההתקפה על SolarWinds הוביל להכנסת דלת אחורית לא רק ברשת מיקרוסופט, אלא גם בחברות רבות אחרות וסוכנויות ממשלתיות באמצעות מוצר SolarWinds אוריון.

עדכון הדלת האחורית של SolarWinds הותקן בתשתית של יותר מ -17.000 לקוחות מבית SolarWinds, כולל 425 מחברות Fortune 500 המושפעות, כמו גם מוסדות פיננסיים ובנקים גדולים, מאות אוניברסיטאות, חטיבות רבות של צבא ארה"ב ובריטניה, הבית הלבן, NSA, משרד החוץ האמריקני ארה"ב והפרלמנט האירופי.

לקוחות SolarWinds כוללים גם חברות גדולות כמו סיסקו, AT&T, אריקסון, NEC, לוסנט, מאסטרקארד, ויזה ארה"ב, רמה 3 וסימנס.

הדלת האחורית אפשרה גישה מרחוק לרשת הפנימית של משתמשי SolarWinds אוריון. השינוי הזדוני נשלח עם גרסאות SolarWinds Orion 2019.4 - 2020.2.1 שפורסמו ממרץ עד יוני 2020.

במהלך ניתוח האירוע, התעלמות מאבטחה נבעה מספקי מערכות ארגוניות גדולות. ההנחה היא כי הגישה לתשתית SolarWinds הושגה באמצעות חשבון Microsoft Office 365.

התוקפים קיבלו גישה לתעודת ה- SAML המשמשת להפקת חתימות דיגיטליות והשתמשו בתעודה זו כדי ליצור אסימונים חדשים שאפשרו גישה מורשית לרשת הפנימית.

לפני כן, בנובמבר 2019, חוקרי אבטחה חיצוניים ציינו את השימוש בסיסמה הטריוויאלית "SolarWind123" לצורך גישת כתיבה לשרת ה- FTP עם עדכוני מוצר SolarWinds, וכן דליפה של סיסמת העובד. מבית SolarWinds במאגר git הציבורי.

בנוסף, לאחר זיהוי הדלת האחורית, SolarWinds המשיכה להפיץ עדכונים עם שינויים זדוניים במשך זמן מה ולא ביטלה באופן מיידי את האישור ששימש לחתימה דיגיטלית על מוצריה (הנושא עלה ב- 13 בדצמבר והתעודה בוטלה ב- 21 בדצמבר. ).

בתגובה לתלונות על מערכות ההתראה שהונפקו על ידי מערכות לזיהוי תוכנות זדוניות, הלקוחות עודדו להשבית את האימות על ידי הסרת אזהרות חיוביות כוזבות.

לפני כן, נציגי SolarWinds מתח ביקורת פעילה על מודל פיתוח הקוד הפתוח, והשווה את השימוש בקוד פתוח לאכילת מזלג מלוכלך וקבע כי מודל פיתוח פתוח אינו מונע את הופעת הסימניות ורק מודל קנייני יכול לספק שליטה בקוד.

בנוסף, משרד המשפטים האמריקני גילה מידע כי התוקפים קיבלו גישה לשרת הדואר של המשרד מבוסס על פלטפורמת Microsoft Office 365. לפי ההערכה, ההתקפה הדליפה את תוכן תיבות הדואר של כ -3.000 עובדי המשרד.

מצדם, הניו יורק טיימס ורויטרס, בלי לפרט את המקור, דיווח על חקירת FBI על קשר אפשרי בין JetBrains למעורבות SolarWinds. SolarWinds השתמשה במערכת אינטגרציה רציפה של TeamCity המסופקת על ידי JetBrains.

ההנחה היא שהתוקפים יכלו לקבל גישה עקב הגדרות שגויות או שימוש בגרסה מיושנת של TeamCity המכילה פרצות.

מנהל JetBrains דחה את ההשערות לגבי חיבור של החברה עם ההתקפה וציינו כי גורמי אכיפת החוק או נציגי SolarWinds לא פנו אליהם בדבר התחייבות אפשרית של TeamCity לתשתית SolarWinds.

מקור: https://msrc-blog.microsoft.com


השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.