Дослідник безпеки: "solarwinds123" Пароль, що залишив фірму вразливою у 2019 році

Дослідник безпеки: "solarwinds123" Пароль, що залишив фірму вразливою у 2019 році

Сага про SolarWinds поступово погіршується. Кілька днів тому з’явилася новина про те, що близько 18 000 компаній були скомпрометовані актором національної держави. Вважається, що зловмисники пов'язані з Cozy Bear, він же APT29, він же російський уряд. Злом вдарив по кількох державних установах США, охоронній компанії FireEye та багатьох інших компаніях.

Коли відбуваються подібні порушення, головне питання полягає в тому, як хакери змогли проникнути насамперед. SolarWinds - велика американська компанія, яка розробляє програмне забезпечення для управління мережею та інфраструктурою, і має величезний список клієнтів. Схоже, дослідники безпеки вже якийсь час намагаються змусити компанію звернути увагу на основні недоліки у захисті.

Дослідник безпеки Вінот Кумар повідомив Reuters, що зв’язався з компанією в 2019 році, попередивши її про те, що кожен може отримати доступ до її сервера оновлення, відгадавши пароль „solarwinds123”. Reuters також повідомляє, що хакери, які заявляють, що можуть продати доступ до комп'ютерів SolarWinds з 2017 року. З формулювання історії не ясно, чи була пропозиція на спосіб проникнення в SolarWinds сама, чи чорна шапка пропонувала продати доступ до комп'ютери, які використовували програмне забезпечення SolarWinds.

Потім, є такий шматочок:

«Кайл Хенслован, співзасновник компанії Huntress із штату Меріленд - зауважив, що через кілька днів після того, як SolarWinds зрозуміла, що їх програмне забезпечення було скомпрометовано, шкідливі оновлення все ще доступні для завантаження».

Дослідник безпеки: "solarwinds123" Пароль, що залишив фірму вразливою у 2019 році

Я хочу зрозуміти, що цей конкретний пароль не вважається засобом, за допомогою якого Cozy Bear отримав доступ до інструменту управління мережею SolarWinds, який отримав назву Orion, але це говорить про жахливу культуру безпеки в компанії, враховуючи потреби користувачів у безпеці даних. Оскільки Orion часто використовується для управління маршрутизаторами та комутаторами у великих корпоративних мережах, проникнення програмного забезпечення дало чорним капелюхам дивовижне вікно у зовнішній та внутрішній мережевий трафік майже 20 000 компаній, федеральних агентств та інших типів організацій.

Оскільки розслідування все ще триває, багато чого ми не знаємо, але приблизно 33 000 клієнтів із загальної кількості клієнтів у 330 000 клієнтів, як повідомляється, розгорнули Orion. Якщо дані SolarWinds точні, це означає, що до 54 відсотків клієнтської бази продукту може бути порушено. Ми знаємо, що APT29 не порушив безпосередньо сховище вихідного коду SolarWinds; атака націлена на систему побудови програмного забезпечення.

FireEye описує шлях зараження наступним чином:

Троянізований файл оновлення - це стандартний файл виправлення інсталятора Windows, який включає стислі ресурси, пов’язані з оновленням, включаючи троянізований компонент SolarWinds.Orion.Core.BusinessLayer.dll. Після встановлення оновлення шкідлива DLL буде завантажена законними SolarWinds.BusinessLayerHost.exe або SolarWinds.BusinessLayerHostx64.exe (залежно від конфігурації системи). Після періоду спокою до двох тижнів шкідливе програмне забезпечення спробує вирішити субдомен avsvmcloud [.] Com.

Хакери, які провели цю атаку, дуже, дуже хороші. Нова інформація свідчить про те, що вони стояли за низкою атак на певний аналітичний центр ще в 2019 та 2020 роках. Ars Technica має про це більше (це трохи стосується SolarWinds, але корисно, якщо ви хочете прочитати більше про те, що робить Cosy Bear та тактика, яку вона використовує).

Протягом останніх кількох днів було багато новин. SolarWinds видалив свій гучний список клієнтів, можливо, щоб захистити їх від поганої реклами. Microsoft та деякі її галузеві партнери захопили домен управління та керування, який використовується для запуску скомпрометованих машин.

Розслідування цього злому все ще триває, і ми поки не знаємо подробиць того, як це сталося, але атаки такого масштабу та складності, як правило, дуже серйозні. Компрометоване програмне забезпечення SolarWinds було використано для проникнення в CDC, Міністерство національної безпеки, Міністерство юстиції, Пентагон та Державний департамент. Слідчі очікують, що вони можуть виявити кілька векторів атаки, а не одну точку атаки.

Розслідування злому тривають на всіх рівнях, але Агентство з питань кіберінфраструктури та безпеки США наразі відсутнє на посаді керівника, оскільки президент Дональд Трамп звільнив Крістофера Кребса за відмову підтримати або підтримати його безпідставні заяви про фальсифікацію виборів. Також давно виникають занепокоєння тим, що CISA не має достатніх ресурсів для реагування на кризу такого масштабу та масштабу.

"Зараз у нас все гаразд", - заявив анонімний співробітник CISA Politico, але "це, мабуть, зміниться ... Багато агентств ще не знають, як вони в огні".

Ця історія розвивається щодня, коли з’являється нова інформація. Слабкий пароль на сервері оновлення SolarWinds, хоча, можливо, і не відповідає безпосередньо за нинішнє становище компанії, мало що добре говорить про основну ситуацію з безпекою.

Читати далі

NASA: Астероїд все ще міг потрапити на Землю в 2068 році
NASA: Астероїд все ще міг потрапити на Землю в 2068 році

Цей астероїд розміром з хмарочос може все-таки потрапити на Землю в 2068 році, згідно з новим аналізом Гавайського університету та лабораторією реактивного руху НАСА.

Огляд MSI Nvidia RTX 3070 Gaming X Trio: продуктивність 2080 Ti, ціна паскаль
Огляд MSI Nvidia RTX 3070 Gaming X Trio: продуктивність 2080 Ti, ціна паскаль

Новий RTX 3070 від Nvidia - це казковий графічний процесор за вигідною ціною, і MSI RTX 3070 Gaming X Trio це добре демонструє.

AMD купує розробника FPGA Xilinx за 35 мільярдів доларів
AMD купує розробника FPGA Xilinx за 35 мільярдів доларів

Угода, яку ми обговорювали на початку цього місяця, надасть AMD доступ до нових ринків, на яких вона раніше не грала, включаючи ПЛІС та штучний інтелект.

Нові відомості про Intel Rocket Lake: Сумісність із зворотною стороною, Xe Graphics, Cypress Cove
Нові відомості про Intel Rocket Lake: Сумісність із зворотною стороною, Xe Graphics, Cypress Cove

Intel опублікувала трохи більше інформації про Rocket Lake та його 10-нм процесор, який було перенесено назад на 14 нм.