Инженеры Asus на протяжении многих месяцев выставляли пароли компании на GitHub

Инженеры Asus на протяжении многих месяцев выставляли пароли компании на GitHub

У Asus не очень хороший март. Есть новые обвинения в серьезных нарушениях безопасности со стороны сотрудников компании, на этот раз с участием GitHub. Новости идут по пятам за проблему безопасности, с которой компания все еще сталкивается.

Ранее на этой неделе Лаборатории Касперского и Symantec публично заявили, что серьезное нарушение безопасности в Asus подвергло риску клиентов компании. По данным «Лаборатории Касперского», до миллиона систем могли быть заражены взломанной версией программного обеспечения Asus LiveUpdate, что является целью нацеливания ~ 600 очень определенных пользователей по MAC-адресу. Asus опубликовал заявление об атаках, подтверждающее, что нападение было классифицировано как APT (Advanced Persistent Threat), тип атаки, обычно используемый национальными государствами или потенциально в корпоративном шпионаже, а не обычными хакерами.

Аналитик по безопасности, который работает в SchizoDuckie, связался с Techcrunch, чтобы поделиться подробностями о бреши в системе безопасности, которую он обнаружил в брандмауэре Asus. По его словам, Asus неправильно публиковал собственные пароли сотрудников в репозиториях на GitHub. В результате он получил доступ к внутренней электронной почте компании, где были предоставлены ночные сборки приложений, драйверов и инструментов. Аккаунт принадлежал инженеру, который, по сообщениям, оставил его открытым, по крайней мере, в течение года. TC сообщает, что SchizoDuckie поделился скриншотами, чтобы подтвердить его выводы, хотя они не были выпущены.

TechCrunch подразумевает, что эта уязвимость не так, как хакеры от предыдущей атаки получили доступ к серверам Asus, написав:

Выводы исследователя не остановили бы хакеров, которые нацелены на инструмент обновления программного обеспечения Asus с помощью черного хода, обнародованного на этой неделе, но обнаружившего явную ошибку безопасности, которая могла подвергнуть компанию риску от подобных или других атак. Охранная компания «Касперский» предупредила Asus 31 января - всего за день до раскрытия исследователем 1 февраля - что хакеры установили черный ход в приложении Asus Live Update компании. Приложение было подписано сертификатом, выпущенным Asus, и размещено на серверах загрузки компании.

Неясно, определил ли Asus, как именно было скомпрометировано его приложение LiveUpdate. Предположительно, приложение было взломано с июля по ноябрь прошлого года, а учетная запись GitHub с опубликованными паролями была активна не менее года, прежде чем раскрытие было сделано Asus 1 февраля. Сроки значительно перекрываются. SchizoDuckie также сообщил, что обнаружил пароли компаний, выставленные на GitHub, в учетных записях двух других инженеров.

Новое: исследователь безопасности предупредил Asus несколько месяцев назад, что открытые пароли подвергают сеть компании риску взлома. Один пароль от учетной записи дал ему доступ к почтовому ящику электронной почты, который использовался для предоставления ночных сборок приложений, драйверов и инструментов владельцам компьютеров. Https://t.co/wl2yXZr4fI

- Зак Уиттакер (@zackwhittaker) 27 марта 2019 г.

«Компании не имеют ни малейшего понятия, что их программисты делают со своим кодом на GitHub», - сказал ШизоДуки. Asus заявила, что не может проверить заявления Schizo, но «Asus активно исследует все системы, чтобы устранить все известные риски с наших серверов и вспомогательного программного обеспечения, а также убедиться в отсутствии утечек данных».

Подобные проблемы безопасности не являются уникальными для Asus - мы видели ряд компаний, защищенных утечкой учетных данных, - но они говорят о том, насколько сложна задача обеспечения безопасности современной инфраструктуры и насколько легко утечка данных.