Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.
Сага SolarWinds со временем становится все хуже. Несколько дней назад появились новости о том, что около 18 000 компаний были скомпрометированы национальным государством. Предполагается, что указанные злоумышленники связаны с Cozy Bear, также известным как APT29, или российским правительством. Взлом поразил несколько правительственных агентств США, охранную компанию FireEye и множество других компаний.
Когда происходят подобные взломы, главный вопрос заключается в том, как хакеры вообще смогли получить доступ. SolarWinds - крупная американская компания, разрабатывающая программное обеспечение для управления сетью и инфраструктурой, и у нее огромный список клиентов. Похоже, исследователи в области безопасности уже некоторое время пытаются заставить компанию обратить внимание на основные недостатки своей защиты.
Исследователь безопасности Винот Кумар рассказал Reuters, что связался с компанией в 2019 году и предупредил, что любой может получить доступ к ее серверу обновлений, угадав пароль «solarwinds123». Reuters также сообщает, что хакеры утверждали, что могут продавать доступ к компьютерам SolarWinds с 2017 года. Из формулировки статьи неясно, было ли предложение о методе проникновения в саму SolarWinds, или же черная шляпа предлагала продать доступ к компьютерам. компьютеры, на которых использовалось программное обеспечение SolarWinds.
Тогда есть такой лакомый кусочек:
«Кайл Ханслован, соучредитель компании Huntress, занимающейся кибербезопасностью из Мэриленда, - заметил, что через несколько дней после того, как SolarWinds осознала, что их программное обеспечение было взломано, вредоносные обновления все еще были доступны для загрузки».
Я хочу прояснить, что этот конкретный пароль не считается средством, с помощью которого Cozy Bear получает доступ к инструменту управления сетью SolarWinds, получившему название Orion, но он говорит о ужасной культуре безопасности в компании, учитывая потребности в безопасности данных ее клиентов. Поскольку Orion часто используется для управления маршрутизаторами и коммутаторами внутри крупных корпоративных сетей, проникновение в программное обеспечение дало черным шляпам чудесное окно во внешний и внутренний сетевой трафик почти 20 000 компаний, федеральных агентств и других типов организаций.
Поскольку расследование все еще продолжается, мы многого не знаем, но, как утверждается, примерно 33 000 клиентов из общей клиентской базы в 330 000 клиентов развернули Orion. Если данные SolarWinds точны, это означает, что до 54 процентов клиентской базы продукта могут быть скомпрометированы. Мы действительно знаем, что APT29 не скомпрометировал репозиторий исходного кода SolarWinds напрямую; атака была нацелена на систему сборки программного обеспечения.
FireEye описывает путь заражения следующим образом:
Троянизированный файл обновления - это стандартный файл исправления установщика Windows, который включает сжатые ресурсы, связанные с обновлением, в том числе троянский компонент SolarWinds.Orion.Core.BusinessLayer.dll. После установки обновления вредоносная DLL будет загружена законным SolarWinds.BusinessLayerHost.exe или SolarWinds.BusinessLayerHostx64.exe (в зависимости от конфигурации системы). После периода бездействия продолжительностью до двух недель вредоносная программа попытается разрешить субдомен avsvmcloud [.] Com.
Хакеры, осуществившие эту атаку, очень и очень хороши. Новая информация предполагает, что они стояли за серией атак на определенный аналитический центр еще в 2019 и 2020 годах. У Ars Technica есть больше об этом (это немного косвенно по отношению к SolarWinds, но полезно, если вы хотите узнать больше о том, что делает Cozy Bear и используемую тактику).
За последние несколько дней появилось множество новостей. SolarWinds сократила свой список известных клиентов, возможно, чтобы защитить их от плохой огласки. Microsoft и некоторые из ее отраслевых партнеров захватили домен управления и контроля, используемый для запуска скомпрометированных машин.
Расследование этого взлома все еще продолжается, и мы пока не знаем подробностей того, как это произошло, но атаки такого масштаба и сложности, как правило, очень серьезны. Скомпрометированное программное обеспечение SolarWinds было использовано для проникновения в CDC, Министерство внутренней безопасности, Министерство юстиции, Пентагон и Государственный департамент. Следователи ожидают, что они могут выявить несколько векторов атаки, а не одну точку атаки.
Расследование взлома ведется на всех уровнях, но Агентство по кибер-инфраструктуре и безопасности США в настоящее время не имеет своей головы, потому что президент Дональд Трамп уволил Кристофера Кребса за отказ одобрить или поддержать его безосновательные утверждения о фальсификации результатов выборов. Также давно высказывались опасения, что CISA не хватает ресурсов для реагирования на кризис такого масштаба и размера.
«Сейчас у нас все в порядке», - сказал «Политико» анонимный сотрудник CISA, но «похоже, что это изменится ... Многие агентства еще не знают, как они горят».
Эта история развивается изо дня в день по мере появления новой информации. Слабый пароль на сервере обновлений SolarWinds, хотя, возможно, и не несет прямой ответственности за текущее затруднительное положение компании, мало что говорит о ситуации с безопасностью.
Читать далее
НАСА: астероид все еще может поразить Землю в 2068 году
Согласно новому анализу Гавайского университета и Лаборатории реактивного движения НАСА, этот астероид размером с небоскреб все еще может столкнуться с Землей в 2068 году.
Обзор MSI Nvidia RTX 3070 Gaming X Trio: производительность 2080 Ti, цены на Pascal
Новый RTX 3070 от Nvidia - потрясающий графический процессор по хорошей цене, и MSI RTX 3070 Gaming X Trio хорошо это демонстрирует.
Nvidia: графические процессоры RTX 3000 по-прежнему будут трудно найти в 2021 году
Нет никакой надежды на улучшение доступности графического процессора RTX 3000 в ближайшем будущем. Дефицит, вероятно, сохранится до конца этого года и до начала 2021 года.
Бета-версия SpaceX Starlink может расшириться уже в январе 2021 года
SpaceX запускала интернет-спутники Starlink в течение последних 18 месяцев или около того, и все, что им удавалось делать большую часть этого времени, - это ставить галочки астрономам. Однако первые пользователи смогли войти в интернет-сервис SpaceX Starlink, и у них остались хорошие впечатления. Это всего лишь небольшой бета-тест, но SpaceX, по-видимому, планирует более широкое тестирование в начале следующего года.