Comparisons Brawte nfaq 0 Comments

SolarWindsがこのようにバックドアを仕掛けられたとは言いませんが、FTPパスワードが「GitHubに平文で漏洩」されました。

Table of Contents

SolarWindsがこのようにバックドアを仕掛けられたとは言いませんが、FTPパスワードが「GitHubに平文で漏洩」されました。

複数の米国政府機関のセキュリティ侵害につながったバックドア付きアップデートを配布するために改ざんされた Orion ネットワーク管理ソフトウェアのメーカーである SolarWinds は、昨年、同社のソフトウェア アップデート サーバーの認証情報が GitHub のパブリック リポジトリで公開されていたと報告されたようです。

セキュリティ研究者のヴィノス・クマール氏は火曜日、昨年11月にソーラーウィンズ社に同様の報告を行い、サーバーへのファイルアップロードに悪用される可能性があると警告したと主張した。クマール氏が発見したというパスワードは、平文で誰でも閲覧できる状態で、決して許可されるべきではない脆弱なパスワードの典型的な例である。

クマール氏はThe Registerへのメッセージで、2019年11月19日にSolarWinds社に「同社のアップデートサーバーは、GitHubの公開リポジトリで漏洩しているパスワード『solarwinds123』でアクセス可能だった。SolarWinds社は問題を修正し、11月22日に私に返信した」と伝えたと述べた。

クマール氏は当初、リポジトリがオープンになっていたのは2~3週間前だと述べたが、その後、2018年6月からその状態だったことを知ったと述べた。

Solarwinds を悪用した FireEye への巧妙な攻撃について読んでいました。うーん、一体どうやってこんなことが起こるんだろう?🤔。それから、そのパスワードが *****123 だったことに気付きました🤣 #FireEye #SolarWinds pic.twitter.com/foGzEOdytG

— ヴィノス・クマール(@vinodsparrow)2020年12月14日

同氏は、漏洩したアカウント名とパスワードを使用して、システムが安全でないことを証明するためのファイルをアップロードできたとSolarWindsへの報告書に記しており、ハッカーは認証情報を使用して悪意のある実行ファイルをアップロードし、SolarWindsのアップデートに追加できると付け加えた。

SolarWindsはコメント要請にすぐには応じなかった。同社は週末に自社のITソフトウェアに不正侵入があったことが明らかになって以来、厳しい1週間を過ごしており、株価は月曜日から25%下落している。

自社ネットワークへの侵入に関する調査の一環としてOrionの件を調査したFireEyeによると、トロイの木馬化されたアップデートは2020年3月から5月の間にSolarWindsの証明書でデジタル署名されていたという。ワシントン・ポスト紙は、匿名の情報筋によると、APT29(コージーベア)として知られるロシア政府が支援するハッカー集団がOrionのアップデートにバックドアを挿入したと考えていると報じている。このバックドアは、米国財務省や国土安全保障省のインフラなど被害者のネットワークにインストールされると、この隠されたアクセスポイントから侵入できるようになっている。

ハッカー

SolarWinds: 米政府ハッキングに関連するバックドア付きソフトウェアをインストールした顧客はわずか1万8000人

続きを読む

SolarWindsの顧客約30万人のうち、最大1万8000人が、改ざんされた.dllファイルを含むこれらの悪意のあるアップデートをインストールしたとみられています。このIT企業の顧客リストには、フォーチュン500企業のほぼすべて、米軍、英国政府、そして複数の米国連邦政府機関が含まれています。

クマール氏は、漏洩したとされるサーバーの認証情報がSolarWindsのOrionプラットフォームの侵害に関与したとは明言していないものの、その可能性は認めている。むしろ、これはSolarWindsのセキュリティ力の高さを示す指標と言えるだろう。

「攻撃者が署名証明書を入手する前に、最初に同じ FTP 認証情報を使用していた可能性はあると思う」と彼は述べた。

「もしビルドサーバーにアクセスできたなら、FTP認証情報は必要ありません。しかし、署名証明書とFTP認証情報さえ入手できれば、.dllファイルを改変し、署名してFTPサーバーにアップロードできるのです。」

クマール氏は、攻撃に使用された悪意のある.dllファイルが改変されたのか、それともソースから再コンパイルされたのかを分析すれば、より正確な情報が得られるかもしれないと述べた。「いずれにせよ、大企業によるセキュリティ対策としては実に脆弱だった」と同氏は述べた。

SolarWindsは月曜日の8-K [PDF]証券報告書で、Microsoft Office 365のアカウントが乗っ取られ、ビルドシステムが悪用されたと述べ、漏洩したFTP認証情報が悪意のあるコードのアップロードに使用された可能性を否定している。

「これまでの調査に基づき、SolarWindsは、この脆弱性がOrion製品に挿入され、2020年3月から6月(「関連期間」)にリリースされたアップデートに存在し、Orionソフトウェアビルドシステムの侵害の結果として導入され、Orion製品のソースコードリポジトリには存在していなかったという証拠を有している」とSECへの提出書類には記されている。®

追加更新

ロイター通信は、地下フォーラム上の複数の犯罪者がSolarWindsのコンピュータへのアクセスを販売することを申し出ていたと報じている。

Comparisons

Smart Recommendations

Discover More