Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.

Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.

Сага SolarWinds со временем становится все хуже. Несколько дней назад появились новости о том, что около 18 000 компаний были скомпрометированы национальным государством. Предполагается, что указанные злоумышленники связаны с Cozy Bear, также известным как APT29, или российским правительством. Взлом поразил несколько правительственных агентств США, охранную компанию FireEye и множество других компаний.

Когда происходят подобные взломы, главный вопрос заключается в том, как хакеры вообще смогли получить доступ. SolarWinds - крупная американская компания, разрабатывающая программное обеспечение для управления сетью и инфраструктурой, и у нее огромный список клиентов. Похоже, исследователи в области безопасности уже некоторое время пытаются заставить компанию обратить внимание на основные недостатки своей защиты.

Исследователь безопасности Винот Кумар рассказал Reuters, что связался с компанией в 2019 году и предупредил, что любой может получить доступ к ее серверу обновлений, угадав пароль «solarwinds123». Reuters также сообщает, что хакеры утверждали, что могут продавать доступ к компьютерам SolarWinds с 2017 года. Из формулировки статьи неясно, было ли предложение о методе проникновения в саму SolarWinds, или же черная шляпа предлагала продать доступ к компьютерам. компьютеры, на которых использовалось программное обеспечение SolarWinds.

Тогда есть такой лакомый кусочек:

«Кайл Ханслован, соучредитель компании Huntress, занимающейся кибербезопасностью из Мэриленда, - заметил, что через несколько дней после того, как SolarWinds осознала, что их программное обеспечение было взломано, вредоносные обновления все еще были доступны для загрузки».

Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.

Я хочу прояснить, что этот конкретный пароль не считается средством, с помощью которого Cozy Bear получает доступ к инструменту управления сетью SolarWinds, получившему название Orion, но он говорит о ужасной культуре безопасности в компании, учитывая потребности в безопасности данных ее клиентов. Поскольку Orion часто используется для управления маршрутизаторами и коммутаторами внутри крупных корпоративных сетей, проникновение в программное обеспечение дало черным шляпам чудесное окно во внешний и внутренний сетевой трафик почти 20 000 компаний, федеральных агентств и других типов организаций.

Поскольку расследование все еще продолжается, мы многого не знаем, но, как утверждается, примерно 33 000 клиентов из общей клиентской базы в 330 000 клиентов развернули Orion. Если данные SolarWinds точны, это означает, что до 54 процентов клиентской базы продукта могут быть скомпрометированы. Мы действительно знаем, что APT29 не скомпрометировал репозиторий исходного кода SolarWinds напрямую; атака была нацелена на систему сборки программного обеспечения.

FireEye описывает путь заражения следующим образом:

Троянизированный файл обновления - это стандартный файл исправления установщика Windows, который включает сжатые ресурсы, связанные с обновлением, в том числе троянский компонент SolarWinds.Orion.Core.BusinessLayer.dll. После установки обновления вредоносная DLL будет загружена законным SolarWinds.BusinessLayerHost.exe или SolarWinds.BusinessLayerHostx64.exe (в зависимости от конфигурации системы). После периода бездействия продолжительностью до двух недель вредоносная программа попытается разрешить субдомен avsvmcloud [.] Com.

Хакеры, осуществившие эту атаку, очень и очень хороши. Новая информация предполагает, что они стояли за серией атак на определенный аналитический центр еще в 2019 и 2020 годах. У Ars Technica есть больше об этом (это немного косвенно по отношению к SolarWinds, но полезно, если вы хотите узнать больше о том, что делает Cozy Bear и используемую тактику).

За последние несколько дней появилось множество новостей. SolarWinds сократила свой список известных клиентов, возможно, чтобы защитить их от плохой огласки. Microsoft и некоторые из ее отраслевых партнеров захватили домен управления и контроля, используемый для запуска скомпрометированных машин.

Расследование этого взлома все еще продолжается, и мы пока не знаем подробностей того, как это произошло, но атаки такого масштаба и сложности, как правило, очень серьезны. Скомпрометированное программное обеспечение SolarWinds было использовано для проникновения в CDC, Министерство внутренней безопасности, Министерство юстиции, Пентагон и Государственный департамент. Следователи ожидают, что они могут выявить несколько векторов атаки, а не одну точку атаки.

Расследование взлома ведется на всех уровнях, но Агентство по кибер-инфраструктуре и безопасности США в настоящее время не имеет своей головы, потому что президент Дональд Трамп уволил Кристофера Кребса за отказ одобрить или поддержать его безосновательные утверждения о фальсификации результатов выборов. Также давно высказывались опасения, что CISA не хватает ресурсов для реагирования на кризис такого масштаба и размера.

«Сейчас у нас все в порядке», - сказал «Политико» анонимный сотрудник CISA, но «похоже, что это изменится ... Многие агентства еще не знают, как они горят».

Эта история развивается изо дня в день по мере появления новой информации. Слабый пароль на сервере обновлений SolarWinds, хотя, возможно, и не несет прямой ответственности за текущее затруднительное положение компании, мало что говорит о ситуации с безопасностью.

Читать далее

Опора AMD на TSMC не вредит перспективам роста компании
Опора AMD на TSMC не вредит перспективам роста компании

Почти шесть месяцев было сложно покупать компоненты для ПК высокого класса. Этому есть ряд причин, включая последствия, связанные с пандемией, связанный с этим всплеск спроса на все вычислительное оборудование и нехватку поставок. На таких литейных предприятиях, как TSMC, были обучены многие наблюдатели, до такой степени, что национальные правительства поставили ...

Иск Активой требует заканчиваться «Фрат Мальчик» Культуру компании
Иск Активой требует заканчиваться «Фрат Мальчик» Культуру компании

Более двух лет Калифорнийское отделение справедливой занятости и жилья Калифорнии расследовало Activision Blizzard Inc. для «нарушения гражданских прав штата и законы о равных платежах». Расследование раскрыло множество совершенно совершенно абсорнтных поведений, которые варьируются от несправедливого до молодого преступника в природе.

ARM опровергает обвинения в краже IP по его дочерней компании ARM China
ARM опровергает обвинения в краже IP по его дочерней компании ARM China

Арм Китай не украл IP от руки и запустил себя как независимая компания.

Шокирующе, Google - единственная компания, которая любит отслеживание Google Cookie Alternative
Шокирующе, Google - единственная компания, которая любит отслеживание Google Cookie Alternative

Mozilla, Microsoft, Duckduckgo, и многие другие сказали, что не будут поддерживать Floc, но Google не может понадобиться, чтобы они поддавались впереди.