こんにちは、Lokiです。今回はSolarWinds Orion製品のバックドアに関して、状況を整理しまとめてみました。

概要

SolarWinds Orion製品のアップデートに見せかけ、悪意のあるインストーラを顧客にダウンロードさせることによって、顧客が疑うこと無く自然にバックドアを仕込まれました。多くとも18,000の顧客に影響を及ぼすと説明。

経緯

侵害前の状況

• 現在調査中（12/15時点）とのことですが、Microsoft Office 365の電子メールアカウントとOfficeアカウントの侵害について警告を受ける
• Vinoth Kumar氏からの報告によると、誰でもアクセス可能なSolarWinds GitHubリポジトリがドメイン「downloads.solarwinds.com」のFTP資格情報を漏えいしていたため、攻撃者が偽装した悪意のある実行可能ファイルをアップロードする可能性があるとのこと。
• また、ダウンロードポータルへのOrionソフトウェアのアップロードに関して、FTPサーバーは簡単なパスワードで保護されていたとのことで、容易に悪意のあるファイルをアップロードすることが可能であった。こちらに関しては、2019年11月22日時点で修正済みとのこと。
• ファイル名が付いた正規のSolarWindsライブラリ（SolarWinds.Orion.Core.BusinessLayer.dll）にバックドアコードを埋め込んだ可能性があることが調査で示されている。このバックドアは、2020年3月以降に世界中で見られるターゲットネットワーク内の自動更新プラットフォームまたはシステムを介して配布された模様。

侵害中の状況

Microsoftによる技術レポートによると、

• SolarWindsOrion製品の悪意のあるコードによる侵入。これにより、攻撃者はネットワークに足場を築き、それを使用して昇格した資格情報を取得。
• ネットワークに侵入後、攻撃によって取得した管理者権限を使用し、組織のグローバル管理者アカウントや信頼できるSAMLトークン署名証明書にアクセス。これにより、特権の高いアカウントを含む、組織の既存のユーザーやアカウントになりすますSAMLトークンを偽造。 
• 攻撃者によって取得されたトークン署名証明書を用いて作成されたSAMLトークンを使用した異常なログインは、信頼するように構成されているため、オンプレミスリソース（IDシステムまたはベンダーに関係なく）およびクラウド環境（ベンダーに関係なく）に対して行うことができます。SAMLトークンは独自の信頼できる証明書で署名されているため、組織は異常を検知できない。 
• 攻撃者は、グローバル管理者アカウントや信頼できる証明書を使用して、特権の高いアカウントになりすますことで、既存のアプリケーションまたはサービスプリンシパルに独自の資格情報を追加し、そのアプリケーションに割り当てられた権限でAPIを呼び出すことが可能。 

影響をうける製品

「同2019.4 HF 5」、「同2020.2」、「同2020.2 HF 1」までの以下の製品

• Application Centric Monitor（ACM）
• Database Performance Analyzer Integration Module(DPAIM）
• Enterprise Operations Console（EOC）
• High Availability（HA）
• IP Address Manager（IPAM）
• Log Analyzer（LA）
• Network Automation Manager（NAM）
• Network Configuration Manager（NCM）
• Network Operations Manager（NOM）
• Network Performance Monitor（NPM）
• NetFlow Traffic Analyzer（NTA）
• Server & Application Monitor（SAM）
• Server Configuration Monitor（SCM）
• Storage Resource Monitor（SRM）
• User Device Tracker（UDT）
• Virtualization Manager（VMAN）
• VoIP & Network Quality Manager（VNQM）
• Web Performance Monitor（WPM）

対策

• 「Orion Platform v2020.2」 または「2020.2HF 1」を使用している場合
  →「Orion Platform v2020.2.1HF2」 にアップグレードする。ダウンロード
• 「Orion Platform v2019.4 HF5」を使用している場合
  →「2019.4HF 6」にアップグレードする。ダウンロード
  ※ホットフィックスを適用する前に、ライセンスを同期する必要がある場合があります。

アメリカ国内での動向

• アメリカの複数の政府機関に対する侵害の可能性
• 米国サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー（CISA）の代理ディレクターであるブランドンウェールズ氏により、「緊急指令21-01」を発出されたことが発表される（公式声明）
• 米国を拠点とするサイバーセキュリティ会社FireEyeが攻撃によって、社内のRedTeam業務で使用しているツールを盗難される（過去記事「FireEye Red Team のツールに対する不正アクセスに関してまとめてみた」）

日本国内での動向

• 内閣サイバーセキュリティセンターより、12/16付けでPDFによってアナウンス。

参考

• CISA ISSUES EMERGENCY DIRECTIVE TO MITIGATE THE COMPROMISE OF SOLARWINDS ORION NETWORK MANAGEMENT PRODUCTS（CISA）
• Emergency Directive 21-01（米国国土安全保障省）
• SolarWinds Security Advisory（SolarWinds）
• Vinoth Kumar氏のツイート（twitter）
• SolarWinds社製SolarWinds Orion Platform ソフトウェアに関する政府機関等への注意喚起の発出について（nisc）