Firma Microsoft udostępniła dodatkowe szczegóły o ataku które naruszyły infrastrukturę SolarWinds który wdrożył backdoora na platformie zarządzania infrastrukturą sieciową SolarWinds Orion, która była używana w sieci korporacyjnej Microsoft.
Analiza zdarzenia pokazała, że osoby atakujące uzyskały dostęp do niektórych kont firmowych Microsoft a podczas audytu okazało się, że te konta były używane do uzyskiwania dostępu do wewnętrznych repozytoriów z kodem produktu Microsoft.
Zarzuca się, że prawa zagrożonych kont pozwalają tylko na przeglądanie kodu, ale nie zapewniały możliwości wprowadzania zmian.
Firma Microsoft zapewniła użytkowników, że dalsza weryfikacja potwierdziła, że w repozytorium nie wprowadzono żadnych złośliwych zmian.
Ponadto, nie znaleziono śladów dostępu atakujących do danych klientów Microsoft, próby narażania świadczonych usług i wykorzystywania infrastruktury Microsoft do przeprowadzania ataków na inne firmy.
Od czasu ataku na SolarWinds doprowadziło do wprowadzenia backdoora nie tylko w sieci Microsoft, ale także w wielu innych firmach i agencjach rządowych przy użyciu produktu SolarWinds Orion.
Aktualizacja backdoora SolarWinds Orion został zainstalowany w infrastrukturze ponad 17.000 XNUMX klientów z SolarWinds, w tym 425 z listy Fortune 500, której dotyczy problem, a także główne instytucje finansowe i banki, setki uniwersytetów, wiele oddziałów armii USA i Wielkiej Brytanii, Biały Dom, NSA, Departament Stanu USA USA i Parlament Europejski.
Do klientów SolarWinds należą również duże firmy takich jak Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 i Siemens.
Backdoor umożliwił zdalny dostęp do wewnętrznej sieci użytkowników SolarWinds Orion. Złośliwa zmiana została wprowadzona wraz z wersjami SolarWinds Orion 2019.4 - 2020.2.1 wydanymi od marca do czerwca 2020 roku.
Podczas analizy incydentów lekceważenie bezpieczeństwa pojawiło się u dużych dostawców systemów korporacyjnych. Zakłada się, że dostęp do infrastruktury SolarWinds uzyskano za pośrednictwem konta Microsoft Office 365.
Osoby atakujące uzyskały dostęp do certyfikatu SAML używanego do generowania podpisów cyfrowych i wykorzystały ten certyfikat do wygenerowania nowych tokenów, które umożliwiały uprzywilejowany dostęp do sieci wewnętrznej.
Wcześniej, w listopadzie 2019 roku, zewnętrzni badacze bezpieczeństwa zauważyli użycie trywialnego hasła „SolarWind123” do zapisu dostępu do serwera FTP z aktualizacjami produktów SolarWinds, a także wyciek hasła pracownika. z SolarWinds w publicznym repozytorium git.
Dodatkowo po zidentyfikowaniu backdoora SolarWinds przez jakiś czas kontynuował dystrybucję aktualizacji ze złośliwymi zmianami i nie unieważnił od razu certyfikatu używanego do cyfrowego podpisywania swoich produktów (problem powstał 13 grudnia, a certyfikat został unieważniony 21 grudnia ).
W odpowiedzi na reklamacje o systemach ostrzegania wydanych przez systemy wykrywania złośliwego oprogramowania, Zachęcano klientów do wyłączenia weryfikacji poprzez usunięcie fałszywie pozytywnych ostrzeżeń.
Wcześniej przedstawiciele SolarWinds aktywnie krytykowali model rozwoju open source, porównując użycie open source do zjadania brudnego widelca i stwierdzając, że otwarty model rozwoju nie wyklucza pojawienia się zakładek i tylko model zastrzeżony może zapewnić kontrola nad kodem.
Ponadto Departament Sprawiedliwości Stanów Zjednoczonych ujawnił informacje, że napastnicy uzyskali dostęp do serwera pocztowego Ministerstwa oparty na platformie Microsoft Office 365. Przypuszcza się, że w wyniku ataku doszło do wycieku zawartości skrzynek pocztowych około 3.000 pracowników Ministerstwa.
Ze swojej strony The New York Times i Reuters, bez wyszczególniania źródła, donosi o dochodzeniu FBI na temat możliwego połączenia między JetBrains a zaangażowaniem SolarWinds. SolarWinds wykorzystał system ciągłej integracji TeamCity dostarczony przez JetBrains.
Zakłada się, że osoby atakujące mogły uzyskać dostęp z powodu nieprawidłowych ustawień lub użycia nieaktualnej wersji TeamCity zawierającej niezałatane luki.
Dyrektor JetBrains odrzucił spekulacje na temat połączenia firmy z atakiem i wskazał, że nie skontaktowały się z nimi organy ścigania ani przedstawiciele SolarWinds w sprawie możliwego zaangażowania TeamCity w infrastrukturę SolarWinds.
źródło: https://msrc-blog.microsoft.com