Microsoft оприлюднила додаткові подробиці про напад що порушило інфраструктуру SolarWinds який реалізував бэкдор на платформі управління мережевою інфраструктурою SolarWinds Orion, яка використовувалася в корпоративній мережі Microsoft.
Аналіз події показав, що зловмисники отримали доступ до деяких корпоративних облікових записів Microsoft і під час аудиту було виявлено, що ці облікові записи використовувались для доступу до внутрішніх сховищ із кодом продукту Microsoft.
Стверджується, що права скомпрометованих облікових записів дозволяли бачити лише код, але вони не надали можливості вносити зміни.
Microsoft запевнила користувачів, що подальша перевірка підтвердила, що ніяких шкідливих змін у сховище не вносилося.
Крім того, не виявлено слідів доступу зловмисників до даних клієнтів Microsoft, спроби скомпрометувати надані послуги та використання інфраструктури Microsoft для здійснення атак на інші компанії.
З часу нападу на SolarWinds призвело до запровадження бекдору не тільки в мережі Microsoft, але також у багатьох інших компаніях та державних установах за допомогою продукту SolarWinds Orion.
Оновлення бекдора SolarWinds Orion було встановлено в інфраструктурі понад 17.000 XNUMX клієнтів від SolarWinds, у тому числі 425 з постраждалих Fortune 500, а також великі фінансові установи та банки, сотні університетів, багато підрозділів американських військових та Великобританії, Білий дім, АНБ, Державний департамент США США та Європейський парламент.
Серед клієнтів SolarWinds також є великі компанії такі як Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 та Siemens.
Бекдор дозволений віддалений доступ до внутрішньої мережі користувачів SolarWinds Orion. Шкідлива зміна була надіслана з версіями SolarWinds Orion 2019.4 - 2020.2.1, випущеними з березня по червень 2020 року.
Під час аналізу інциденту, ігнорування безпеки виникло у великих корпоративних постачальників систем. Передбачається, що доступ до інфраструктури SolarWinds був отриманий через обліковий запис Microsoft Office 365.
Зловмисники отримали доступ до сертифіката SAML, що використовується для генерації цифрових підписів, і використовували цей сертифікат для генерації нових токенів, що дозволяли привілейований доступ до внутрішньої мережі.
До цього, у листопаді 2019 року, сторонні дослідники безпеки відзначили використання тривіального пароля "SolarWind123" для доступу до запису на FTP-сервер із оновленнями продуктів SolarWinds, а також витік пароля працівника. від SolarWinds у відкритому сховищі git.
Крім того, після виявлення бэкдора, SolarWinds деякий час продовжував розповсюджувати оновлення зі шкідливими змінами і не відразу відкликав сертифікат, який використовувався для цифрового підпису своєї продукції (проблема виникла 13 грудня, а сертифікат був скасований 21 грудня ).
У відповідь на скарги на системах оповіщення, виданих системами виявлення шкідливого програмного забезпечення, Клієнтам рекомендується вимкнути перевірку, видаливши помилкові попередження.
До цього представники SolarWinds активно критикували модель розробки з відкритим кодом, порівнюючи використання відкритого коду зі з'їданням брудної виделки, і заявляли, що відкрита модель розробки не виключає появи закладок і лише власна модель може забезпечити контроль над кодом.
Крім того, Міністерство юстиції США розкрило інформацію, яка зловмисники отримали доступ до поштового сервера міністерства на основі платформи Microsoft Office 365. Вважається, що атака просочила вміст поштових скриньок близько 3.000 співробітників міністерства.
Зі свого боку, The New York Times та Reuters, без деталізації джерела, повідомив розслідування ФБР про можливий зв’язок між JetBrains та залученням SolarWinds. SolarWinds використовував систему постійної інтеграції TeamCity, що постачається JetBrains.
Передбачається, що зловмисники могли отримати доступ через неправильні налаштування або використання застарілої версії TeamCity, що містить недопрацьовані вразливості.
Директор JetBrains відкинув припущення щодо зв'язку компанії з нападом та зазначив, що з ними не зв’язувались правоохоронні органи чи представники SolarWinds щодо можливої відданості TeamCity інфраструктурі SolarWinds.
Фуенте: https://msrc-blog.microsoft.com