Microsoft Şirkəti SolarWinds şirkətinin infrastrukturunun komprometasiyası, və Microsoft korporativ şəbəkəsində istifadə olunan SolarWinds Orion şəbəkə infrastrukturunun idarəetmə platformasına backdoor (arxa qapı) daxil edilməsi vasitəsilə həyata keçirilən hücum haqqında əlavə məlumatlar dərc edib. Hadisənin araşdırılması zamanı hücum edən şəxslərin Microsoft-un bəzi korporativ uçot qeydlərinə giriş əldə etdiyi müəyyən edilmişdir. Audit zamanı məlum olmuşdur ki, bu uçot qeydlərindən Microsoft məhsul kodları ilə daxili saxlanc yerindən istifadə olunub.
İcazəsiz giriş əldə edilən uçot qeydlərinin hüquqları koda baxmağa imkan versə də, dəyişiklik daxil edilməsi imkanı nəzərdə tutulmayıb. Microsoft şirkəti istifadəçiləri əlavə yoxlamanın saxlanc yerinə ziyanverici dəyişikliklərin daxil edilmədiyini təsdiq etdiyinə əmin edib. Həmçinin, hücum edənlərin Microsoft müştərilərinin məlumatlarına çıxış əldə etməsi, təqdim olunan servislərə icazəsiz giriş cəhdləri və Microsoft infrastrukturunun başqa şirkətlərə hücum üçün istifadə olunmasına dair izlərə rast gəlinməyib.
Xatırladaq ki, SolarWinds şirkətinin komprometasiyası backdoor-un yalnız Microsoft şəbəkəsinə deyil, SolarWinds Orion məhsulundan istifadə edən bir çox digər şirkət və hökumət qurumlarına daxil edilməsinə səbəb olub. SolarWinds Orion platformasının backdoor ilə yeniləməsi 17 mindən artıq SolarWinds müştərisinin infrastrukturunda quraşdırılmış, o cümlədən Fortune 500 siyahısından 500 şirkətin 425-i, ən böyük maliyyə qurumları və banklar, yüzlərlə universitet, ABŞ-ın və Böyük Britaniyanın Silahlı Qüvvələrinin bir çox bölmələri, Ağ Ev, MTA, ABŞ Dövlət Departamenti və Avropa Parlamenti zərər çəkmişdir. SolarWinds müştəriləri arasında Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 və Siemens kimi tanınmış şirkətlər də var.
Backdoor SolarWinds Orion istifadəçilərinin daxili şəbəkəsinə məsafədən giriş əldə etməyə imkan verib. Ziyanverici dəyişiklik 2020-ci ilin mart ayından iyun ayınadək buraxılan SolarWinds Orion 2019.4 - 2020.2.1 versiyalarının tərkibində təchiz olunub. Backdoor-dan istifadəyə dair ilk izlər 2020-ci ilin payız aylarına təsadüf edir.
İnsidentin araşdırılması zamanı məlum olmuşdur ki, iri korporativ sistem təchizatçılarının təhlükəsizliyinə laqeyd yanaşılır. Güman edilir ki, SolarWinds infrastrukturuna giriş Microsoft Office 365-də uçot qeydi vasitəsilə əldə olunub. Hücum edənlər rəqəmsal imzaların hazırlanması üçün istifadə olunan SAML sertifikatına giriş əldə edib, onu daxili şəbəkəyə imtiyazlı giriş imkanı verən yeni tokenlərin hazırlanması üçün istifadə edib.
Bundan əvvəl, hələ 2019-cu ilin noyabr ayında kənar təhlükəsizlik tədqiqatçıları tərəfindən SolarWinds məhsul yeniləmələri ilə FTP-serverə qeyd hüququ ilə giriş üçün adi “SolarWind123” şifrəsindən istifadə olunduğu, həmçinin ictimai git-saxlancında SolarWinds işçilərindən birinin şifrəsinin sızdığı müəyyən edilib. Bundan əlavə, backdoor aşkar olunduqdan sonra SolarWinds bir müddət ziyanverici dəyişikliklərlə yeniləmələri yaymağa davam edib və məhsullarının rəqəmsal imza ilə təsdiqlənməsi üçün istifadə olunan sertifikatı dərhal geri çağırmayıb (problem 13 dekabr tarixində aşkar olunsa da, sertifikat dekabrın 21-i geri çağırılıb). Müştərilərin ziyanverici PT-nın aşkar olunması sistemlərində xəbərdarlıqların əks etdirilməsi ilə bağlı şikayətlərinə cavab olaraq xəbərdarlıqların əsassız olduğu deyilərək, yoxlama funksiyasının deaktiv olunması tövsiyə olunub.
Hücum barədə əlavə məlumatlar:
© 2011-2025 Bütün Hüquqlar Qorunur