SolarWinds Orion製品のバックドアに関してまとめてみた
こんにちは、Lokiです。今回はSolarWinds Orion製品のバックドアに関して、状況を整理しまとめてみました。
概要
SolarWinds Orion製品のアップデートに見せかけ、悪意のあるインストーラを顧客にダウンロードさせることによって、顧客が疑うこと無く自然にバックドアを仕込まれました。多くとも18,000の顧客に影響を及ぼすと説明。
経緯
侵害前の状況
- 現在調査中(12/15時点)とのことですが、Microsoft Office 365の電子メールアカウントとOfficeアカウントの侵害について警告を受ける
- Vinoth Kumar氏からの報告によると、誰でもアクセス可能なSolarWinds GitHubリポジトリがドメイン「downloads.solarwinds.com」のFTP資格情報を漏えいしていたため、攻撃者が偽装した悪意のある実行可能ファイルをアップロードする可能性があるとのこと。
- また、ダウンロードポータルへのOrionソフトウェアのアップロードに関して、FTPサーバーは簡単なパスワードで保護されていたとのことで、容易に悪意のあるファイルをアップロードすることが可能であった。こちらに関しては、2019年11月22日時点で修正済みとのこと。
- ファイル名が付いた正規のSolarWindsライブラリ(SolarWinds.Orion.Core.BusinessLayer.dll)にバックドアコードを埋め込んだ可能性があることが調査で示されている。このバックドアは、2020年3月以降に世界中で見られるターゲットネットワーク内の自動更新プラットフォームまたはシステムを介して配布された模様。
侵害中の状況
- SolarWindsOrion製品の悪意のあるコードによる侵入。これにより、攻撃者はネットワークに足場を築き、それを使用して昇格した資格情報を取得。
- ネットワークに侵入後、攻撃によって取得した管理者権限を使用し、組織のグローバル管理者アカウントや信頼できるSAMLトークン署名証明書にアクセス。これにより、特権の高いアカウントを含む、組織の既存のユーザーやアカウントになりすますSAMLトークンを偽造。
- 攻撃者によって取得されたトークン署名証明書を用いて作成されたSAMLトークンを使用した異常なログインは、信頼するように構成されているため、オンプレミスリソース(IDシステムまたはベンダーに関係なく)およびクラウド環境(ベンダーに関係なく)に対して行うことができます。SAMLトークンは独自の信頼できる証明書で署名されているため、組織は異常を検知できない。
- 攻撃者は、グローバル管理者アカウントや信頼できる証明書を使用して、特権の高いアカウントになりすますことで、既存のアプリケーションまたはサービスプリンシパルに独自の資格情報を追加し、そのアプリケーションに割り当てられた権限でAPIを呼び出すことが可能。
影響をうける製品
「同2019.4 HF 5」、「同2020.2」、「同2020.2 HF 1」までの以下の製品
- Application Centric Monitor(ACM)
- Database Performance Analyzer Integration Module(DPAIM)
- Enterprise Operations Console(EOC)
- High Availability(HA)
- IP Address Manager(IPAM)
- Log Analyzer(LA)
- Network Automation Manager(NAM)
- Network Configuration Manager(NCM)
- Network Operations Manager(NOM)
- Network Performance Monitor(NPM)
- NetFlow Traffic Analyzer(NTA)
- Server & Application Monitor(SAM)
- Server Configuration Monitor(SCM)
- Storage Resource Monitor(SRM)
- User Device Tracker(UDT)
- Virtualization Manager(VMAN)
- VoIP & Network Quality Manager(VNQM)
- Web Performance Monitor(WPM)
対策
- 「Orion Platform v2020.2」 または「2020.2HF 1」を使用している場合
→「Orion Platform v2020.2.1HF2」 にアップグレードする。ダウンロード - 「Orion Platform v2019.4 HF5」を使用している場合
→「2019.4HF 6」にアップグレードする。ダウンロード
※ホットフィックスを適用する前に、ライセンスを同期する必要がある場合があります。
アメリカ国内での動向
- アメリカの複数の政府機関に対する侵害の可能性
- 米国サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー(CISA)の代理ディレクターであるブランドンウェールズ氏により、「緊急指令21-01」を発出されたことが発表される(公式声明)
- 米国を拠点とするサイバーセキュリティ会社FireEyeが攻撃によって、社内のRedTeam業務で使用しているツールを盗難される(過去記事「FireEye Red Team のツールに対する不正アクセスに関してまとめてみた」)
日本国内での動向
- 内閣サイバーセキュリティセンターより、12/16付けでPDFによってアナウンス。
参考
- CISA ISSUES EMERGENCY DIRECTIVE TO MITIGATE THE COMPROMISE OF SOLARWINDS ORION NETWORK MANAGEMENT PRODUCTS(CISA)
- Emergency Directive 21-01(米国国土安全保障省)
- SolarWinds Security Advisory(SolarWinds)
- Vinoth Kumar氏のツイート(twitter)
- SolarWinds社製SolarWinds Orion Platform ソフトウェアに関する政府機関等への注意喚起の発出について(nisc)