Atacatorii SolarWinds au reușit să obțină acces la codul Microsoft

Microsoft a lansat detalii suplimentare despre atac care a compromis infrastructura SolarWinds care a implementat un backdoor pe platforma de gestionare a infrastructurii rețelei SolarWinds Orion, care a fost utilizată în rețeaua corporativă Microsoft.

Analiza incidentului a arătat că atacatorii au obținut acces la unele conturi corporative Microsoft și în timpul auditului, s-a dezvăluit că aceste conturi au fost utilizate pentru a accesa depozite interne cu codul produsului Microsoft.

Se presupune că drepturile conturilor compromise au permis doar vizualizarea codului, dar nu au oferit capacitatea de a face schimbări.

Microsoft a asigurat utilizatorii că verificarea ulterioară a confirmat faptul că nu au fost aduse modificări rău intenționate depozitului.

În plus, nu au fost găsite urme ale accesului atacatorilor la datele clienților Microsoft, încearcă să compromită serviciile furnizate și utilizarea infrastructurii Microsoft pentru a efectua atacuri asupra altor companii.

De la atacul asupra SolarWinds a dus la introducerea unei uși din spate nu doar în rețeaua Microsoft, ci de asemenea, în multe alte companii și agenții guvernamentale folosind produsul SolarWinds Orion.

Actualizarea SolarWinds Orion pentru backdoor a fost instalat în infrastructura a peste 17.000 de clienți de la SolarWinds, inclusiv 425 din companiile Fortune 500 afectate, precum și instituții financiare și bănci importante, sute de universități, multe divizii ale armatei SUA și Marea Britanie, Casa Albă, NSA, Departamentul de Stat al SUA SUA și Parlamentul European.

Clienții SolarWinds includ, de asemenea, companii importante precum Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 și Siemens.

Ușa din spate a permis accesul la distanță la rețeaua internă a utilizatorilor SolarWinds Orion. Modificarea rău intenționată a fost livrată cu versiunile SolarWinds Orion 2019.4 - 2020.2.1 lansate din martie până în iunie 2020.

În timpul analizei incidentului, nerespectarea securității a apărut de la furnizorii mari de sisteme corporative. Se presupune că accesul la infrastructura SolarWinds a fost obținut printr-un cont Microsoft Office 365.

Atacatorii au obținut acces la certificatul SAML folosit pentru a genera semnături digitale și au folosit acest certificat pentru a genera noi jetoane care permiteau accesul privilegiat la rețeaua internă.

Înainte de aceasta, în noiembrie 2019, cercetătorii externi de securitate au remarcat utilizarea parolei banale „SolarWind123” pentru accesul la scriere la serverul FTP cu actualizări ale produsului SolarWinds, precum și scurgerea uneia dintre parolele angajaților. de la SolarWinds în depozitul git public.

În plus, după identificarea backdoor-ului, SolarWinds a continuat să distribuie actualizări cu modificări rău intenționate de ceva timp și nu a revocat imediat certificatul utilizat pentru semnarea digitală a produselor sale (problema a apărut pe 13 decembrie și certificatul a fost revocat pe 21 decembrie ).

Ca răspuns la reclamații pe sistemele de alertă emise de sistemele de detectare a malware-ului, Clienții au fost încurajați să dezactiveze verificarea prin eliminarea avertismentelor fals pozitive.

Înainte, reprezentanții SolarWinds au criticat în mod activ modelul de dezvoltare open source, comparând utilizarea open source cu consumul unei furci murdare și afirmând că un model de dezvoltare deschis nu exclude apariția marcajelor și doar un model proprietar poate oferi control asupra codului.

În plus, Departamentul de Justiție al SUA a dezvăluit informații care atacatorii au avut acces la serverul de mail al Ministerului bazat pe platforma Microsoft Office 365. Se crede că atacul a scurs conținutul cutiilor poștale ale a aproximativ 3.000 de angajați ai Ministerului.

La rândul lor, The New York Times și Reuters, fără a detalia sursa, a raportat o anchetă FBI despre o posibilă legătură între JetBrains și angajamentul SolarWinds. SolarWinds a folosit sistemul de integrare continuă TeamCity furnizat de JetBrains.

Se presupune că atacatorii ar fi putut obține acces din cauza setărilor incorecte sau a utilizării unei versiuni învechite a TeamCity care conține vulnerabilități neperectate.

Directorul JetBrains a respins speculațiile despre conexiune a companiei care a atacat și a indicat că nu au fost contactate de agențiile de aplicare a legii sau de reprezentanții SolarWinds cu privire la un posibil angajament de către TeamCity cu infrastructura SolarWinds.

Fuente: https://msrc-blog.microsoft.com


Fii primul care comenteaza

Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.