Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.

Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.

Сага SolarWinds со временем становится все хуже. Несколько дней назад появились новости о том, что около 18 000 компаний были скомпрометированы национальным государством. Предполагается, что указанные злоумышленники связаны с Cozy Bear, также известным как APT29, или российским правительством. Взлом поразил несколько правительственных агентств США, охранную компанию FireEye и множество других компаний.

Когда происходят подобные взломы, главный вопрос заключается в том, как хакеры вообще смогли получить доступ. SolarWinds - крупная американская компания, разрабатывающая программное обеспечение для управления сетью и инфраструктурой, и у нее огромный список клиентов. Похоже, исследователи в области безопасности уже некоторое время пытаются заставить компанию обратить внимание на основные недостатки своей защиты.

Исследователь безопасности Винот Кумар рассказал Reuters, что связался с компанией в 2019 году и предупредил, что любой может получить доступ к ее серверу обновлений, угадав пароль «solarwinds123». Reuters также сообщает, что хакеры утверждали, что могут продавать доступ к компьютерам SolarWinds с 2017 года. Из формулировки статьи неясно, было ли предложение о методе проникновения в саму SolarWinds, или же черная шляпа предлагала продать доступ к компьютерам. компьютеры, на которых использовалось программное обеспечение SolarWinds.

Тогда есть такой лакомый кусочек:

«Кайл Ханслован, соучредитель компании Huntress, занимающейся кибербезопасностью из Мэриленда, - заметил, что через несколько дней после того, как SolarWinds осознала, что их программное обеспечение было взломано, вредоносные обновления все еще были доступны для загрузки».

Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.

Я хочу прояснить, что этот конкретный пароль не считается средством, с помощью которого Cozy Bear получает доступ к инструменту управления сетью SolarWinds, получившему название Orion, но он говорит о ужасной культуре безопасности в компании, учитывая потребности в безопасности данных ее клиентов. Поскольку Orion часто используется для управления маршрутизаторами и коммутаторами внутри крупных корпоративных сетей, проникновение в программное обеспечение дало черным шляпам чудесное окно во внешний и внутренний сетевой трафик почти 20 000 компаний, федеральных агентств и других типов организаций.

Поскольку расследование все еще продолжается, мы многого не знаем, но, как утверждается, примерно 33 000 клиентов из общей клиентской базы в 330 000 клиентов развернули Orion. Если данные SolarWinds точны, это означает, что до 54 процентов клиентской базы продукта могут быть скомпрометированы. Мы действительно знаем, что APT29 не скомпрометировал репозиторий исходного кода SolarWinds напрямую; атака была нацелена на систему сборки программного обеспечения.

FireEye описывает путь заражения следующим образом:

Троянизированный файл обновления - это стандартный файл исправления установщика Windows, который включает сжатые ресурсы, связанные с обновлением, в том числе троянский компонент SolarWinds.Orion.Core.BusinessLayer.dll. После установки обновления вредоносная DLL будет загружена законным SolarWinds.BusinessLayerHost.exe или SolarWinds.BusinessLayerHostx64.exe (в зависимости от конфигурации системы). После периода бездействия продолжительностью до двух недель вредоносная программа попытается разрешить субдомен avsvmcloud [.] Com.

Хакеры, осуществившие эту атаку, очень и очень хороши. Новая информация предполагает, что они стояли за серией атак на определенный аналитический центр еще в 2019 и 2020 годах. У Ars Technica есть больше об этом (это немного косвенно по отношению к SolarWinds, но полезно, если вы хотите узнать больше о том, что делает Cozy Bear и используемую тактику).

За последние несколько дней появилось множество новостей. SolarWinds сократила свой список известных клиентов, возможно, чтобы защитить их от плохой огласки. Microsoft и некоторые из ее отраслевых партнеров захватили домен управления и контроля, используемый для запуска скомпрометированных машин.

Расследование этого взлома все еще продолжается, и мы пока не знаем подробностей того, как это произошло, но атаки такого масштаба и сложности, как правило, очень серьезны. Скомпрометированное программное обеспечение SolarWinds было использовано для проникновения в CDC, Министерство внутренней безопасности, Министерство юстиции, Пентагон и Государственный департамент. Следователи ожидают, что они могут выявить несколько векторов атаки, а не одну точку атаки.

Расследование взлома ведется на всех уровнях, но Агентство по кибер-инфраструктуре и безопасности США в настоящее время не имеет своей головы, потому что президент Дональд Трамп уволил Кристофера Кребса за отказ одобрить или поддержать его безосновательные утверждения о фальсификации результатов выборов. Также давно высказывались опасения, что CISA не хватает ресурсов для реагирования на кризис такого масштаба и размера.

«Сейчас у нас все в порядке», - сказал «Политико» анонимный сотрудник CISA, но «похоже, что это изменится ... Многие агентства еще не знают, как они горят».

Эта история развивается изо дня в день по мере появления новой информации. Слабый пароль на сервере обновлений SolarWinds, хотя, возможно, и не несет прямой ответственности за текущее затруднительное положение компании, мало что говорит о ситуации с безопасностью.

Читать далее

Intel раскрыла призрак, Meltdown для китайских компаний перед правительством США
Intel раскрыла призрак, Meltdown для китайских компаний перед правительством США

Процессы уведомления Intel Spectre и Meltdown и развертывание исправлений были довольно скалистыми. Сейчас компания находится под огнем для уведомления своих китайских клиентов о недостатках перед правительством США.

FTC предупреждает об обязательствах компаний «Пустота, если удалены», наклейки являются явно незаконными
FTC предупреждает об обязательствах компаний «Пустота, если удалены», наклейки являются явно незаконными

FTC направил письма нескольким компаниям, сообщив им, что наклейки с гарантийными обязательствами «недействительны, если сняты» являются незаконными и не допускаются в соответствии с федеральным законом.

США запрещают компании продавать китайскому телефону ZTE
США запрещают компании продавать китайскому телефону ZTE

ZTE запрещено покупать продукты у американских поставщиков после того, как он не наказал сотрудников, которые сговорились нарушить эмбарго США против Ирана, Северной Кореи.

5 самых перспективных компаний в разработке ИИ
5 самых перспективных компаний в разработке ИИ

Будь то кража нашей работы или помощь в диагностике болезни, искусственный интеллект будет иметь огромное влияние на будущее человечества.