Дослідник безпеки: "solarwinds123" Пароль, що залишив фірму вразливою у 2019 році

Дослідник безпеки: "solarwinds123" Пароль, що залишив фірму вразливою у 2019 році

Сага про SolarWinds поступово погіршується. Кілька днів тому з’явилася новина про те, що близько 18 000 компаній були скомпрометовані актором національної держави. Вважається, що зловмисники пов'язані з Cozy Bear, він же APT29, він же російський уряд. Злом вдарив по кількох державних установах США, охоронній компанії FireEye та багатьох інших компаніях.

Коли відбуваються подібні порушення, головне питання полягає в тому, як хакери змогли проникнути насамперед. SolarWinds - велика американська компанія, яка розробляє програмне забезпечення для управління мережею та інфраструктурою, і має величезний список клієнтів. Схоже, дослідники безпеки вже якийсь час намагаються змусити компанію звернути увагу на основні недоліки у захисті.

Дослідник безпеки Вінот Кумар повідомив Reuters, що зв’язався з компанією в 2019 році, попередивши її про те, що кожен може отримати доступ до її сервера оновлення, відгадавши пароль „solarwinds123”. Reuters також повідомляє, що хакери, які заявляють, що можуть продати доступ до комп'ютерів SolarWinds з 2017 року. З формулювання історії не ясно, чи була пропозиція на спосіб проникнення в SolarWinds сама, чи чорна шапка пропонувала продати доступ до комп'ютери, які використовували програмне забезпечення SolarWinds.

Потім, є такий шматочок:

«Кайл Хенслован, співзасновник компанії Huntress із штату Меріленд - зауважив, що через кілька днів після того, як SolarWinds зрозуміла, що їх програмне забезпечення було скомпрометовано, шкідливі оновлення все ще доступні для завантаження».

Дослідник безпеки: "solarwinds123" Пароль, що залишив фірму вразливою у 2019 році

Я хочу зрозуміти, що цей конкретний пароль не вважається засобом, за допомогою якого Cozy Bear отримав доступ до інструменту управління мережею SolarWinds, який отримав назву Orion, але це говорить про жахливу культуру безпеки в компанії, враховуючи потреби користувачів у безпеці даних. Оскільки Orion часто використовується для управління маршрутизаторами та комутаторами у великих корпоративних мережах, проникнення програмного забезпечення дало чорним капелюхам дивовижне вікно у зовнішній та внутрішній мережевий трафік майже 20 000 компаній, федеральних агентств та інших типів організацій.

Оскільки розслідування все ще триває, багато чого ми не знаємо, але приблизно 33 000 клієнтів із загальної кількості клієнтів у 330 000 клієнтів, як повідомляється, розгорнули Orion. Якщо дані SolarWinds точні, це означає, що до 54 відсотків клієнтської бази продукту може бути порушено. Ми знаємо, що APT29 не порушив безпосередньо сховище вихідного коду SolarWinds; атака націлена на систему побудови програмного забезпечення.

FireEye описує шлях зараження наступним чином:

Троянізований файл оновлення - це стандартний файл виправлення інсталятора Windows, який включає стислі ресурси, пов’язані з оновленням, включаючи троянізований компонент SolarWinds.Orion.Core.BusinessLayer.dll. Після встановлення оновлення шкідлива DLL буде завантажена законними SolarWinds.BusinessLayerHost.exe або SolarWinds.BusinessLayerHostx64.exe (залежно від конфігурації системи). Після періоду спокою до двох тижнів шкідливе програмне забезпечення спробує вирішити субдомен avsvmcloud [.] Com.

Хакери, які провели цю атаку, дуже, дуже хороші. Нова інформація свідчить про те, що вони стояли за низкою атак на певний аналітичний центр ще в 2019 та 2020 роках. Ars Technica має про це більше (це трохи стосується SolarWinds, але корисно, якщо ви хочете прочитати більше про те, що робить Cosy Bear та тактика, яку вона використовує).

Протягом останніх кількох днів було багато новин. SolarWinds видалив свій гучний список клієнтів, можливо, щоб захистити їх від поганої реклами. Microsoft та деякі її галузеві партнери захопили домен управління та керування, який використовується для запуску скомпрометованих машин.

Розслідування цього злому все ще триває, і ми поки не знаємо подробиць того, як це сталося, але атаки такого масштабу та складності, як правило, дуже серйозні. Компрометоване програмне забезпечення SolarWinds було використано для проникнення в CDC, Міністерство національної безпеки, Міністерство юстиції, Пентагон та Державний департамент. Слідчі очікують, що вони можуть виявити кілька векторів атаки, а не одну точку атаки.

Розслідування злому тривають на всіх рівнях, але Агентство з питань кіберінфраструктури та безпеки США наразі відсутнє на посаді керівника, оскільки президент Дональд Трамп звільнив Крістофера Кребса за відмову підтримати або підтримати його безпідставні заяви про фальсифікацію виборів. Також давно виникають занепокоєння тим, що CISA не має достатніх ресурсів для реагування на кризу такого масштабу та масштабу.

"Зараз у нас все гаразд", - заявив анонімний співробітник CISA Politico, але "це, мабуть, зміниться ... Багато агентств ще не знають, як вони в огні".

Ця історія розвивається щодня, коли з’являється нова інформація. Слабкий пароль на сервері оновлення SolarWinds, хоча, можливо, і не відповідає безпосередньо за нинішнє становище компанії, мало що добре говорить про основну ситуацію з безпекою.

Читати далі

Microsoft: чіп Pluton забезпечить безпеку, схожу на Xbox, на ПК з Windows
Microsoft: чіп Pluton забезпечить безпеку, схожу на Xbox, на ПК з Windows

Intel, AMD і Qualcomm працюють над тим, щоб зробити Pluton частиною своїх майбутніх проектів, що може ускладнити злом ПК, але це також вкладає технології Microsoft у ваше обладнання.

Додаток для спільного використання файлів із 1 мільярдом завантажень має серйозні дефекти безпеки
Додаток для спільного використання файлів із 1 мільярдом завантажень має серйозні дефекти безпеки

Trend Micro заявляє, що SHAREit - це кошмар безпеки, який може дозволити зловмисникам підглянути ваші дані або навіть встановити шкідливе програмне забезпечення. Мабуть, найнеспокійливіше, що розробники не реагували на попередження Trend Micro.

Останній отвір безпеки iPhone стає загальним джейлбрейком
Останній отвір безпеки iPhone стає загальним джейлбрейком

Apple закликала власників iPhone встановити останнє оновлення для iOS минулого місяця, але це саме по собі не було незвичним. Що незвичного було причиною оновлення. Apple випустила iOS 14.4, щоб закрити діру в безпеці, яку активно використовували злочинці в Інтернеті. Тепер ця вразливість знову з’явилася як універсальний джейлбрейк для iDevices.

ARM представляє NEW ARMV9 ISA для покращення безпеки, підвищення продуктивності
ARM представляє NEW ARMV9 ISA для покращення безпеки, підвищення продуктивності

Рука оголосила про свою нову ISA, ARMV9. Вона включає в себе нові функції безпеки, новий стандартний SIMD та додаткові оптимізації продуктивності та оновлення функцій.