Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.
Сага SolarWinds со временем становится все хуже. Несколько дней назад появились новости о том, что около 18 000 компаний были скомпрометированы национальным государством. Предполагается, что указанные злоумышленники связаны с Cozy Bear, также известным как APT29, или российским правительством. Взлом поразил несколько правительственных агентств США, охранную компанию FireEye и множество других компаний.
Когда происходят подобные взломы, главный вопрос заключается в том, как хакеры вообще смогли получить доступ. SolarWinds - крупная американская компания, разрабатывающая программное обеспечение для управления сетью и инфраструктурой, и у нее огромный список клиентов. Похоже, исследователи в области безопасности уже некоторое время пытаются заставить компанию обратить внимание на основные недостатки своей защиты.
Исследователь безопасности Винот Кумар рассказал Reuters, что связался с компанией в 2019 году и предупредил, что любой может получить доступ к ее серверу обновлений, угадав пароль «solarwinds123». Reuters также сообщает, что хакеры утверждали, что могут продавать доступ к компьютерам SolarWinds с 2017 года. Из формулировки статьи неясно, было ли предложение о методе проникновения в саму SolarWinds, или же черная шляпа предлагала продать доступ к компьютерам. компьютеры, на которых использовалось программное обеспечение SolarWinds.
Тогда есть такой лакомый кусочек:
«Кайл Ханслован, соучредитель компании Huntress, занимающейся кибербезопасностью из Мэриленда, - заметил, что через несколько дней после того, как SolarWinds осознала, что их программное обеспечение было взломано, вредоносные обновления все еще были доступны для загрузки».
Я хочу прояснить, что этот конкретный пароль не считается средством, с помощью которого Cozy Bear получает доступ к инструменту управления сетью SolarWinds, получившему название Orion, но он говорит о ужасной культуре безопасности в компании, учитывая потребности в безопасности данных ее клиентов. Поскольку Orion часто используется для управления маршрутизаторами и коммутаторами внутри крупных корпоративных сетей, проникновение в программное обеспечение дало черным шляпам чудесное окно во внешний и внутренний сетевой трафик почти 20 000 компаний, федеральных агентств и других типов организаций.
Поскольку расследование все еще продолжается, мы многого не знаем, но, как утверждается, примерно 33 000 клиентов из общей клиентской базы в 330 000 клиентов развернули Orion. Если данные SolarWinds точны, это означает, что до 54 процентов клиентской базы продукта могут быть скомпрометированы. Мы действительно знаем, что APT29 не скомпрометировал репозиторий исходного кода SolarWinds напрямую; атака была нацелена на систему сборки программного обеспечения.
FireEye описывает путь заражения следующим образом:
Троянизированный файл обновления - это стандартный файл исправления установщика Windows, который включает сжатые ресурсы, связанные с обновлением, в том числе троянский компонент SolarWinds.Orion.Core.BusinessLayer.dll. После установки обновления вредоносная DLL будет загружена законным SolarWinds.BusinessLayerHost.exe или SolarWinds.BusinessLayerHostx64.exe (в зависимости от конфигурации системы). После периода бездействия продолжительностью до двух недель вредоносная программа попытается разрешить субдомен avsvmcloud [.] Com.
Хакеры, осуществившие эту атаку, очень и очень хороши. Новая информация предполагает, что они стояли за серией атак на определенный аналитический центр еще в 2019 и 2020 годах. У Ars Technica есть больше об этом (это немного косвенно по отношению к SolarWinds, но полезно, если вы хотите узнать больше о том, что делает Cozy Bear и используемую тактику).
За последние несколько дней появилось множество новостей. SolarWinds сократила свой список известных клиентов, возможно, чтобы защитить их от плохой огласки. Microsoft и некоторые из ее отраслевых партнеров захватили домен управления и контроля, используемый для запуска скомпрометированных машин.
Расследование этого взлома все еще продолжается, и мы пока не знаем подробностей того, как это произошло, но атаки такого масштаба и сложности, как правило, очень серьезны. Скомпрометированное программное обеспечение SolarWinds было использовано для проникновения в CDC, Министерство внутренней безопасности, Министерство юстиции, Пентагон и Государственный департамент. Следователи ожидают, что они могут выявить несколько векторов атаки, а не одну точку атаки.
Расследование взлома ведется на всех уровнях, но Агентство по кибер-инфраструктуре и безопасности США в настоящее время не имеет своей головы, потому что президент Дональд Трамп уволил Кристофера Кребса за отказ одобрить или поддержать его безосновательные утверждения о фальсификации результатов выборов. Также давно высказывались опасения, что CISA не хватает ресурсов для реагирования на кризис такого масштаба и размера.
«Сейчас у нас все в порядке», - сказал «Политико» анонимный сотрудник CISA, но «похоже, что это изменится ... Многие агентства еще не знают, как они горят».
Эта история развивается изо дня в день по мере появления новой информации. Слабый пароль на сервере обновлений SolarWinds, хотя, возможно, и не несет прямой ответственности за текущее затруднительное положение компании, мало что говорит о ситуации с безопасностью.
Читать далее
Лучшие системы безопасности умного дома
Когда-то являвшиеся нишевым бизнесом с несколькими традиционными игроками и несколькими стартапами, системы домашней безопасности теперь являются основным полем битвы не только для охранных компаний, но и для нескольких интернет-гигантов. Мы собрали самые популярные варианты на 2020 год.
Microsoft: чип Pluton обеспечит безопасность на уровне Xbox на ПК с Windows
Intel, AMD и Qualcomm работают над тем, чтобы сделать Pluton частью своих будущих проектов, что должно сделать ПК более трудным для взлома, но также встроит технологию Microsoft в ваше оборудование.
Приложение для обмена файлами с миллиардом загрузок имеет серьезный недостаток безопасности
Trend Micro заявляет, что SHAREit - это кошмар безопасности, который может позволить злоумышленникам украдкой взглянуть на ваши данные или даже установить вредоносное ПО. Пожалуй, самое тревожное, что разработчики не ответили на предупреждения Trend Micro.
Недавняя дыра в безопасности iPhone стала универсальным побегом из тюрьмы
Apple призвала владельцев iPhone установить последнее обновление для iOS в прошлом месяце, но это само по себе не было необычным. Причиной обновления стало то, что было необычным. Apple выпустила iOS 14.4, чтобы закрыть дыру в безопасности, которую активно использовали онлайн-преступники. Теперь эта уязвимость снова появилась как универсальный джейлбрейк для iDevices.