Solarwinds Orionプラットフォームがバックドア(SUNBURST)となった日

Solarwindsは、IT infrastructure monitoring (ITIM)に関わる数多くのソフトウェアを開発するアメリカテキサスの企業です。

2020年12月15日。そんなSolarwindsのカスタマーポータルが2020年3月から汚染されており、ポータルサイトからソフトウェアをダウンロードした利用者のパソコンにバックドアが侵入していた・・・といった大事件が発覚しました。

これはライセンス購入者だけではなく、評価版をダウンロードしたユーザーにも影響があります。

本サイトの執筆者は、セキュリティのプロでもなんでもないんですが、さすがに本件は取り上げないとネットワークを語るものとして失格だろうということで、今までニュースとなっている情報を自分なりに咀嚼してご紹介することにします。

前提知識。Solarwinds Orionプラットフォームとは？

Solarwinds社の主力製品として、Network Performance Monitor(NPM), NetFlow Traffic Analyzer(NTA), Network Configuration Manager(NCM), IP Address Manager (IPAM)などがあります。

これら主力製品に必ず使われているのが、Solarwinds Orionプラットフォームです。

このプラットフォームを利用しているSolarwinds製品は、以下の通りです。

• Application Centric Monitor (ACM)
• Database Performance Analyzer
• Integration Module* (DPAIM*)
• Enterprise Operations Console (EOC)
• High Availability (HA)
• IP Address Manager (IPAM)
• Log Analyzer (LA)
• Network Automation Manager (NAM)
• Network Configuration Manager (NCM)
• Network Operations Manager (NOM)
• User Device Tracker (UDT)
• Network Performance Monitor (NPM)
• NetFlow Traffic Analyzer (NTA)
• Server & Application Monitor (SAM)
• Server Configuration Monitor (SCM)
• Storage Resource Monitor (SRM)
• Virtualization Manager (VMAN)
• VoIP & Network Quality Manager (VNQM)
• Web Performance Monitor (WPM)

Solarwinds社主力製品の土台となるソフトウェアなので、上記リストの通り大量に関連ソフトウェアがあります。

つまり、今回の事件は上記どれか一つでもライセンスを購入、もしくは評価版としてダウンロードしたユーザーは、バックドア化されたSolarwinds Orionプラットフォームをインストールしていることになります。

Solarwinds社の発表では、18,000件の関連ユーザーがいるといった記載があります。

自分のサーバーがバックドアを仕掛けられていないか？の確認方法

疑いのあるサーバーを持っている方は、まずはケーブルを抜きましょう（笑

当初の情報では、Windows OSの再インストールから始めろ！！といった情報まで出ていましたが、2020年12月15日以降にカスタマーポータルにアップロードされたSolarwinds Orionプラットフォームのパッチをインストールすれば大丈夫です。

バックドアが仕掛けれていないかの確認は、Solarwinds Orionプラットフォームのバージョンを確認することによって可能となります。

以下のリストが、バックドアが仕掛けられているバージョンです。

• Orion Platform v2019.4 HF 5
• Orion Platform v2020.2
• Orion Platform v2020.2 HF 1

この3バージョンです。今年の3月以降に上記リストにあるアプリケーションをインストール/アップグレードした方は、もれなく影響がある可能性がありますので、必ずバージョンをチェックしてください。

バージョン確認は、通常のコントロールパネルから”アプリと機能”で確認するか、Solarwinds製品のWEB UIにログインしページのヘッダにバージョン情報が記載されていますので確認しましょう。

対処方法は簡単？パッチ適用

Solarwindsのカスタマーポータルにログインし、インストールされているバージョンに従いオフラインインストーラーをダウンロードしてインストールしてください。

Orion Platform v2019.4 HF 5の方は、Orion Platform v2019.4 HF 6をダウンロードしてインストール。

Orion Platform v2020.2及びOrion Platform v2020.2 HF 1の方は、Orion Platform v2020.2.1 HF 2をダウンロードしてインストールするだけです。

パッチ適用だけでは済まない可能性

今回バックドア化されたソフトウェアは、ITIMに関わるソフトウェアです。

つまり、Windows Management Instrumentation(WMI)実行に必要なDomain adminisユーザーのクレデンシャル、Ciscoやネットワーク機器のログイン及びenableパスワードを設定するソフトウェアとなりますので、これらが奪取されている可能性があります。

よって、影響のあるシステムをインターネットにつながる環境で運用していた組織に求められる行動としては、ActiveDirectoryのDomain adminisユーザーやadministratorのパスワード、ネットワーク機器のパスワードを更新することです。

Solarwinds社株価の不可解な動き

Solarwindsは上場企業です。

Solarwindsの株価は本バックドアの存在が明らかになる2020年12月15日の前日12月14日に大幅に値を下げています。

こちら限りなくインサイダー取引の香りがしますね・・・

興味ある方は、「Solarwinds Stock Price Strange」とかで検索すると色々と関連記事が出てきます。

終わりに

大失態を冒してしまったSolarwinds社ですが、個人的には応援したいソフトウェアを開発している企業です。

この失敗を糧にさらなる企業成長を成し遂げて頂きたいと切に願っております。