Microsoft ir izlaidusi papildu informāciju par uzbrukumu kas apdraudēja Grieķijas infrastruktūru SolarWinds kas SolarWinds Orion tīkla infrastruktūras pārvaldības platformā ieviesa aizmuguri, kas tika izmantota Microsoft korporatīvajā tīklā.
Incidenta analīze to parādīja uzbrucēji ieguva piekļuvi dažiem Microsoft korporatīvajiem kontiem un revīzijas laikā tika atklāts, ka šie konti tika izmantoti, lai piekļūtu iekšējiem krātuvēm ar Microsoft produkta kodu.
Tiek apgalvots, ka apdraudēto kontu tiesības ļāva redzēt tikai kodu, taču tie nenodrošināja iespēju veikt izmaiņas.
Korporācija Microsoft lietotājiem ir apliecinājusi, ka turpmāka pārbaude ir apstiprinājusi, ka repozitorijā nav veiktas nekādas ļaunprātīgas izmaiņas.
Turklāt, netika atrastas nekādas uzbrucēju piekļuves Microsoft klientu datiem pēdas, mēģinājumi apdraudēt sniegtos pakalpojumus un Microsoft infrastruktūras izmantošanu, lai veiktu uzbrukumus citiem uzņēmumiem.
Kopš uzbrukuma SolarWinds noveda pie aizmugures durvju ieviešanas ne tikai Microsoft tīklā, bet arī daudzos citos uzņēmumos un valsts aģentūrās izmantojot SolarWinds Orion produktu.
SolarWinds Orion aizmugures durvju atjauninājums ir uzstādīts vairāk nekā 17.000 XNUMX klientu infrastruktūrā no SolarWinds, tostarp 425 no skartajiem Fortune 500, kā arī lielākās finanšu iestādes un bankas, simtiem universitāšu, daudzas ASV armijas un Lielbritānijas nodaļas, Baltais nams, NSA, ASV ASV Valsts departaments un Eiropas Parlaments.
SolarWinds klientu vidū ir arī lielākie uzņēmumi piemēram, Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, 3. līmenis un Siemens.
Aizmugure atļauta attāla piekļuve SolarWinds Orion lietotāju iekšējam tīklam. Ļaunprātīgās izmaiņas tika piegādātas ar SolarWinds Orion 2019.4 - 2020.2.1 versijām, kas izlaistas no 2020. gada marta līdz jūnijam.
Incidenta analīzes laikā drošības ignorēšana radās lielu korporatīvo sistēmu nodrošinātāju starpā. Tiek pieņemts, ka piekļuve SolarWinds infrastruktūrai tika iegūta, izmantojot Microsoft Office 365 kontu.
Uzbrucēji ieguva piekļuvi SAML sertifikātam, ko izmantoja digitālo parakstu ģenerēšanai, un izmantoja šo sertifikātu, lai ģenerētu jaunus marķierus, kas ļāva priviliģēti piekļūt iekšējam tīklam.
Pirms tam, 2019. gada novembrī, ārējie drošības pētnieki atzīmēja triviālas paroles "SolarWind123" izmantošanu rakstīšanas piekļuvei FTP serverim ar SolarWinds produktu atjauninājumiem, kā arī darbinieka paroles noplūdi. No SolarWinds publiskajā git krātuvē. .
Turklāt pēc aizmugures durvju identificēšanas SolarWinds kādu laiku turpināja izplatīt atjauninājumus ar ļaunprātīgām izmaiņām un nekavējoties neatsauca sertifikātu, kas izmantots, lai parakstītu savus produktus digitāli (problēma radās 13. decembrī, un sertifikāts tika atsaukts 21. decembrī).
Atbildot uz sūdzībām par trauksmes sistēmām, ko izsniedz ļaunprātīgas programmatūras noteikšanas sistēmas, Klienti tika mudināti atspējot verifikāciju, noņemot nepatiesi pozitīvus brīdinājumus.
Pirms tam SolarWinds pārstāvji aktīvi kritizēja atvērtā koda izstrādes modeli, salīdzinot atvērtā koda izmantošanu ar netīras dakšas ēšanu un norādot, ka atvērtais attīstības modelis neizslēdz grāmatzīmju parādīšanos un kontroli var kontrolēt tikai patentēts modelis.
Turklāt ASV Tieslietu departaments atklāja informāciju, ka uzbrucēji ieguva piekļuvi ministrijas pasta serverim pamatojoties uz Microsoft Office 365 platformu. Tiek uzskatīts, ka uzbrukums ir noplūdis aptuveni 3.000 ministrijas darbinieku pastkastīšu saturu.
Savukārt The New York Times un Reuters, detalizēti nenorādot avotu, ziņoja par FIB izmeklēšanu par iespējamo saikni starp JetBrains un SolarWinds iesaistīšanos. SolarWinds izmantoja TeamCity nepārtrauktās integrācijas sistēmu, ko piegādāja JetBrains.
Tiek pieņemts, ka uzbrucēji varēja piekļūt nepareizu iestatījumu dēļ vai izmantojot novecojušu TeamCity versiju, kas satur nenoslēgtas ievainojamības.
JetBrains direktors noraidīja spekulācijas par savienojumu uzņēmuma pārstāvji ar uzbrukumu un norādīja, ka tiesībaizsardzības aģentūras vai SolarWinds pārstāvji ar viņiem nav sazinājušies par TeamCity iespējamo saistību ar SolarWinds infrastruktūru.
Fuente: https://msrc-blog.microsoft.com