December 8-án jelentette be a FireEye nevű IT biztonsági cég, hogy egy nagyon összetett és kifinomult támadás következtében számos olyan, általuk fejlesztett és sérülékenység vizsgálatok során használt eszközöket (exploit-okat) loptak el a rendszereikből. Mivel az incidensről szóló első hírek után számos IT (és néhány OT) biztonsági cég is reagált az ellopott eszközök jelentette fenyegetésekre, ezért ezt még önmagában nem tartottam annyira fontosnak, hogy írjak róla.
December 13-án azonban kiderült, hogy a FireEye incidensnél a támadók a SolarWinds nevű, IT menedzsment és IT biztonsági megoldásokat gyártó cég egyik termékén, az Orion nevű monitoring rendszeren keresztül jutottak be a FireEye hálózatába, méghozzá nem is akárhogy!
Az elmúlt 5 napban egyre több részlet látott napvilágot arról a beszállítói-lánc támadásról (supply-chain attack), ami mostanra az USA egyik legnagyobb IT biztonsági incidensévé kezd válni. A támadók első lépésként egy (egyes hírek szerint egy Github-on meglehetősen könnyelműen, sima szöveges formában szabadon elérhető) felhasználónév-jelszó párral authentikálva jutott be a SolarWinds egyik, termékek buildelésére használt szerverére és még nem teljesen világos, hogy hogyan, de képesek voltak backdoor-t elhelyezni a a SolarWinds Orion binárisaiban. Más források szerint több, viszonylag friss Orion verziót backdoor-oltak a támadók, amiket aztán nagy számú (legalább 18.000) ügyfél töltött le és telepített a saját hálózatában működő SolarWinds Orion telepítésére. Ezután a backdoor-olt Orion-okat felhasználva (amennyiben azok tudtak az Interneten keresztül kommunikálni a támadók infrastruktúrájával) a támadók már viszonylag könnyen képesek voltak hozzáférni az immár kompromittált hálózatban működő rendszerekhez - hiszen a monitoring rendszereket jellemzően még a legjobban szegmentált hálózatokban is engedik kommunikálni szinten az összes rendszerrel.
Az eddig megjelent információk alapján a legalább 18.000 érintett szervezet között sok más mellett a Fortune 500-as listán szereplő cégek közül kb. 400 érintett lehet, mások mellett a Microsoft is, a BleepingComputer cikke szerint.
Cégek mellett számos amerikai kormányzati szerv is az érintett (és kompromittált) szervezetek listáján van, többek között az amerikai államkincstár (U.S. Department of the Treasury), a Külügyminisztérium (U.S. Department of State), a Belbiztonsági Minisztérium (U.S. Department of Homeland Security - DHS), ahova többek között a CISA és az amerikai ICS-CERT is tartozik és a sok más mellett az amerikai atomfegyverek őrzéséért is felelős Energiaügyi Minisztérium (U.S. Department of Energy - DoE) is. Részben ez is indokolta a DHS CISA részéről a 21-01-es sorszámú vészhelyzeti irányelv kiadását december 13-án, amiben számos, az incidens hatásainak és a kockázatok mérséklésére irányuló intézkedést rendeltek el.
Ezután a némileg hosszú felvezetés után lássuk, mi köze lehet ennek a valóban szokatlanul kiterjedt és kifinomult támadás-sorozatnak az ICS rendszerek biztonságához?
Ahogy az ipari folyamatirányító rendszereket használó szervezetek a digitalizálás útján gyorsabban vagy lassaban, de haladnak előre, úgy nő az esélye annak is, hogy egy SolarWinds Orion rendszer megjelenik az OT rendszerek és akár a level1/level0 eszközök monitorozása szerepkörben is. Ráadásul egyes források (konkrétan Joe Weiss az Unfettered blogon) részletesen írnak arról is, hogy a SolarWinds Orion által az eszközök monitorozására használt SNMP protokoll használatával nem csak számos IT rendszert, hanem bizony sok ICS berendezést is kompromittálni lehet. Mivel jelenleg csak sejteni lehet, hogy a SolarWinds incidensben érintett sok ezer cég közül hány helyen üzemelhetnek ICS rendszerek (az én személyes és bátor tippem az lenne, hogy kb. 18.000+, mert ha mást nem, hát a szervertermek, adatközpontok épületautomatizálási rendszerei szinte biztos, hogy minden érintett szervezetnél jelen vannak), ezért azt nem lehet megjósolni, hogy a konkrét incidens közvetlenül mekkora és milyen hatással lesz egyes ICS rendszerek biztonságára.
Amit viszont már most látni lehet:
1. A supply-chain attack-jellegű támadások a szállító-ügyfél között eddig meglévő bizalmi kapcsolatokat alapjaiban aknázhatja alá. Eddig is lehetett olyan véleményeket hallani, hogy a hibajavítások telepítése az ismert sérülékenységek újakra cserélését jelenti és ez a hozzáállás az OT üzemeltetői mérnökök között alapvetően meglévő, patch-elést elutasító viselkedést csak tovább erősíti, hihetetlen nagy károkat okozhat, hiszen a patch-elési folyamatok minden hibája és az összes eddig látott beszállítói-lánc támadás ellenére is a hibajavítások telepítése nagyjából az egyetlen létező módja annak, hogy kezelhető szinten tartsuk az IT és OT rendszerek fenyegetettségét.
2. A SolarWinds Orion backdoor-olása nagyon tisztán megmutatja, mennyire fontos (lenne) úgy az IT, mint az OT rendszerek esetén egy, a biztonságot is fókuszban tartó tervezéssel kezdeni mindenfajta fejlesztési (sőt, bármilyen változtatási) folyamatot. Ha ugyanis a mostani incidensben backdoor-olt SolarWinds Orion monitoring rendszerek egy általánosan (és nem extrém paranoid módon) biztonságosra tervezett hálózatban működnének, ami azt is jelenti, hogy ha nem szükséges, akkor semmilyen Internetes kapcsolatuk nincs, ha pedig bármilyen ok miatt szükséges, akkor a minimális Internetes kommunikációt engedélyezik ezeknek a szervereknek, akkor a mostani incidensek száma a jelenlegi töredéke lehetne.
Az incidensről számos helyen írtak, én most a SANS Emergency Webcast-ját emelném ki, ahol Jake Williams foglalta össze a legfontosabb információkat: https://www.youtube.com/watch?v=qP3LQNsjKWw
Frissítés: Két nagyon jó blogbejegyzést is találtam a DomainTools.com oldalon Joe Slowik (veterán biztonsági kutató, jelentős ICS biztonsági tapasztalatokkal) tollából/billentyűzetéből erről az incidensről:
Unraveling Network Infrastructure Linked to the SolarWinds Hack
Continuous Eruption: Further Analysis of the SolarWinds Supply Chain Incident
