Atlantic.Netは、このセキュリティアドバイザリメッセージをニュースアイテムとして提供しています。 Atlantic.NetがSolarWinds製品を社内で、またはサービス提供の一部として使用していないことをお客様に安心させたいと考えています。
2020年12月13日、SolarWinds Corporationでの重大なセキュリティ侵害に関するニュースが、サイバーセキュリティ組織FireEyeから発生しました。 SolarWindsは、テキサスを拠点とするテクノロジーの巨人であり、Orionのソフトウェア製品ラインでサーバー監視とネットワーク管理の主要なプレーヤーになっています。世界中で30万人の顧客にサービスを提供しており、いくつかの著名な組織や政府機関から信頼されています。
サイバーセキュリティの専門家は、洗練された、おそらくロシアの、国が後援するサイバー攻撃がSolarWindsインフラストラクチャを侵害し、会社の顧客の多くに影響を与えたと信じています。専門家は、SolarWindsが2020年の春に侵害されたと信じていますが、攻撃の土台ははるかに早く始まった可能性があります。
伝えられるところによると、VMware、Intel、Microsoft、Ciscoなどのグローバル企業は、米軍の5つの支部すべて、国防総省、国務省、および大統領府の攻撃の影響を受けています。米国。
ハックは信じられないほど洗練されていました。ハッカーはSolarWindsの内部システムにアクセスし、Orionの公式ソフトウェアアップデートを「trojanized」で侵害することができました。 マルウェアの更新。これにより、ハッカーは侵害されたアップデートを、SolarWindsが承認した正当なOrionアップデートに偽装することができました。最大18,000人のSolarWindsの顧客がマルウェアをダウンロードしたと考えられています。これは間違いなく、約50億ドルの企業で発生する、巨大で信じられないほど衝撃的なセキュリティの失効です。
侵害を最初に特定したサイバーセキュリティ企業であるFireEyeは、このハッキングにより侵入者に「ファイルの転送、ファイルの実行、システムのプロファイリング、マシンの再起動、システムサービスの無効化が可能になった」と述べています。このマルウェアは、ネットワークトラフィックをOrion Improvement Program(OIP)プロトコルに見せかけ、偵察結果を正当なプラグイン構成ファイルに保存して、正当なSolarWindsアクティビティと融合できるようにします。」
被害者によってインストールされると、ハッカーはOrionソフトウェアフレームワークの一部、具体的にはSolarWinds.Orion.Core.BusinessLayer.dllというファイルのHTTPAPIの脆弱性を使用しました。このエクスプロイトにより、侵害されたサーバーでリモートの「ジョブ」を実行し、「神モード」特権を使用して被害者のネットワークを通過し、接続されたサーバーを侵害してデータの盗難を実行することができました。
SymantecとPaloAltoNetworksは、TeardropおよびSupernovaと呼ばれるセカンダリペイロードが「対象のターゲット」に対して展開されたと報告しました。 Teardropは、クレデンシャルを盗み、Active Directoryをハッキングし、データの盗難を実行しようとするCobaltStrikeBeaconマルウェアを埋め込みます。
このニュースは最近報道されたばかりであるため、影響の規模はまだ完全にはわかっていませんが、多くの企業がデータ侵害の影響を調査しているため、自慢しています。政府はある程度の考えを持っているかもしれませんが、今のところ、どのデータが盗まれたかを正確に知る人は誰もいません。これは、この侵害の真の範囲とそのフォールアウトが理解された場合、史上最悪のサイバー攻撃として減少する可能性があります。
この攻撃を非常に陰湿なものにしたのは、使用された攻撃ベクトルであるSolarWindsサプライチェーンでした。 SolarWindsは最終的なターゲットではありませんでしたが、政府機関や著名な組織に深く組み込まれ、信頼されています。このタイプの攻撃はAdvancedPersistentThreat(APT)として知られており、攻撃の方法はトロイの木馬にすぎません。具体的には、ユーザーデータと企業秘密を標的にしているため、リモートアクセス型トロイの木馬(RAT)として知られています。
推奨されるアクション
SolarWindsは、感染したOrionの更新を特定し、それらに関する情報をここに公開しました。ユーザーは、更新されたOrionPlatformバージョン2019.4HF5が2020年3月から6月の間にインストールされたかどうかを確認する必要があります。すべてのOrionユーザーがOrionPlatformバージョン2020.2.1ホットフィックス2に更新することをお勧めします。
ユーザーは、ネットワークが侵害されていないかどうかを確認する必要があります。 2つの主要な識別子をスキャンします。Teardropインメモリマルウェアを使用してCobaltStrikeBeaconをドロップすることと、組織のホスト名をスキャンします。侵害された場合、ホスト名は攻撃者によって使用された悪意のあるIPアドレスを発見する可能性があります。
Atlantic.Netは、サイバーセキュリティのベストプラクティスに関するこのさらなるアドバイスも提供しています。何らかの形式のローカルパスワードマネージャーを使用していることを確認してください。まだ行っていない場合は、何らかの形式の多要素認証を使用して、ネットワーク全体に緊急にインストールしてください。有料のライセンスバージョンやオープンソースなど、さまざまなオプションを利用できます。組織全体で同じパスワードを使用したり、厳格なパスワードポリシーを適用したり、複雑なパスワード戦略を適用したりしないでください。
ハッカーが、パブリックGitHubコードリポジトリに埋め込まれていることが判明したSolarWindsの内部ユーザー名とパスワードを使用してアクセスを達成したという、最初の侵害の可能性をどのように管理したかに関する1つの理論が広まっています。 「Solarwinds123」パスワード理論にはいくつかのメリットがあるかもしれません。もし本当なら、SolarWinds内の定着した悪いセキュリティ慣行に指を向けます。
この違反の影響を予測することはできませんが、世界的に深刻な影響を与える可能性があります。この事件により、米国の組織はネットワーク環境の直接監査を実施せざるを得なくなる可能性があります。 SolarWindsは間違いなく、この目立った違反から多くの顧客を失い、巨額の規制上の罰金を期待することができます。多くのSolarWindsの顧客は欧州連合内にいるため、GDPRに違反したことで罰金が科せられる可能性もあります。
この攻撃を受けて、特にロシアによる国が後援する攻撃であることが判明した場合、米国政府がサイバーセキュリティプロトコルを刷新することを期待しています。米国政府は、EINSTEIN 3と呼ばれるこの種の攻撃を阻止するように設計されたサイバーセキュリティプラットフォームをすでに導入しています。このシステムは、この攻撃を完全に認識していなかったようです。
あなたのビジネスがサイバーセキュリティについて懸念している場合は、Atlantic.Netに連絡してください。私たちは、マネージドサービス、クラウドホスティング、HIPAAコンプライアンスのスペシャリストです。インフラストラクチャのセキュリティは最も重要であり、最高のセキュリティプロセスを確実に実施できるように努めています。このサイバー攻撃は、史上最悪の1つとして歴史に残るでしょう。私たちは、これによって影響を受ける可能性のある業界の友人たちを心配しています。 SolarWindsのクライアントは何も悪いことをしていません。彼らは評判の良い企業から業界をリードするサーバー管理スイートを購入しましたが、現在、未知のセキュリティ能力のために、各顧客は自分の過失によって危険にさらされています。今すぐご連絡ください。