Microsoft는 추가 세부 정보를 발표했습니다. 공격에 대해 인프라를 손상시킨 SolarWinds Microsoft의 기업 네트워크에서 사용 된 SolarWinds Orion 네트워크 인프라 관리 플랫폼에 백도어를 구현했습니다.
사건 분석 결과 공격자는 일부 Microsoft 기업 계정에 대한 액세스 권한을 얻었습니다. 감사 중에 이러한 계정이 Microsoft 제품 코드로 내부 저장소에 액세스하는 데 사용 된 것으로 밝혀졌습니다.
그것은 주장된다 손상된 계정의 권한은 코드를 볼 수만 있습니다., 그러나 변경 기능을 제공하지 않았습니다.
Microsoft는 추가 확인을 통해 리포지토리에 악의적 인 변경이 이루어지지 않았 음을 확인했습니다.
또한, Microsoft 고객 데이터에 대한 공격자의 액세스 흔적은 발견되지 않았습니다. 다른 회사에 대한 공격을 수행하기 위해 제공된 서비스 및 Microsoft의 인프라 사용을 손상시키려는 시도.
SolarWinds에 대한 공격 이후 백도어의 도입으로 이어졌습니다. Microsoft 네트워크뿐 아니라 다른 많은 회사와 정부 기관에서도 SolarWinds Orion 제품을 사용합니다.
SolarWinds Orion 백도어 업데이트 17.000여 고객의 인프라에 설치되었습니다. 영향을받은 Fortune 425 대 기업 중 500 개, 주요 금융 기관 및 은행, 수백 개의 대학, 미군 및 영국의 여러 부서, 백악관, NSA, 미국 국무부 등 SolarWinds 미국과 유럽 의회.
SolarWinds 고객에는 주요 기업도 포함됩니다. Cisco, AT & T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 및 Siemens와 같은
백도어 SolarWinds Orion 사용자의 내부 네트워크에 대한 원격 액세스 허용. 악성 변경 사항은 2019.4 년 2020.2.1 월부터 2020 월까지 출시 된 SolarWinds Orion 버전 XNUMX-XNUMX과 함께 제공되었습니다.
사고 분석 중에 대기업 시스템 제공 업체에서 등장한 보안에 대한 무시. SolarWinds 인프라에 대한 액세스는 Microsoft Office 365 계정을 통해 얻은 것으로 가정합니다.
공격자는 디지털 서명을 생성하는 데 사용되는 SAML 인증서에 대한 액세스 권한을 얻었으며이 인증서를 사용하여 내부 네트워크에 대한 권한있는 액세스를 허용하는 새 토큰을 생성했습니다.
이에 앞서 2019 년 123 월 외부 보안 연구원들은 SolarWinds 제품 업데이트를 통해 FTP 서버에 대한 쓰기 액세스를 위해 사소한 암호 "SolarWindXNUMX"을 사용하고 직원의 암호가 유출 된 사실을 발견했습니다. 공개 git 저장소의 SolarWinds에서.
또한 백도어가 확인 된 후 SolarWinds는 일정 기간 동안 악성 변경 사항이 포함 된 업데이트를 계속 배포했으며 제품 디지털 서명에 사용 된 인증서를 즉시 취소하지 않았습니다 (이 문제는 13 월 21 일에 발생했으며 인증서는 XNUMX 월 XNUMX 일에 취소되었습니다. ).
불만에 대한 대응 악성 코드 탐지 시스템이 발행 한 경보 시스템 고객은 오 탐지 경고를 제거하여 확인을 비활성화하도록 권장되었습니다.
그 전에 SolarWinds 대표는 오픈 소스 사용을 더러운 포크를 먹는 것과 비교하고 오픈 개발 모델이 북마크의 출현을 배제하지 않으며 독점 모델 만이 제공 할 수 있다고 언급하면서 오픈 소스 개발 모델을 적극적으로 비판했습니다. 코드 제어.
또한 미국 법무부는 다음과 같은 정보를 공개했습니다. 공격자는 교육부의 메일 서버에 대한 액세스 권한을 얻었습니다. 마이크로 소프트 오피스 365 플랫폼을 기반으로 한 공격으로 약 3.000 명의 사역 직원의 사서함 내용이 유출 된 것으로 추정됩니다.
뉴욕 타임스와 로이터는 소스를 자세히 설명하지 않고, FBI 조사보고 JetBrains와 SolarWinds 계약 간의 가능한 연결에 대해 SolarWinds는 JetBrains에서 제공하는 TeamCity 연속 통합 시스템을 사용했습니다.
잘못된 설정이나 패치되지 않은 취약점이 포함 된 오래된 TeamCity 버전을 사용하여 공격자가 액세스 권한을 얻을 수 있다고 가정합니다.
JetBrains 이사는 연결에 대한 추측을 일축했습니다. 팀 시티가 SolarWinds 인프라에 대한 약속 가능성에 대해 법 집행 기관이나 SolarWinds 담당자가 연락하지 않았다고 밝혔습니다.
출처 : https://msrc-blog.microsoft.com