Дослідник безпеки: "solarwinds123" Пароль, що залишив фірму вразливою у 2019 році
Сага про SolarWinds поступово погіршується. Кілька днів тому з’явилася новина про те, що близько 18 000 компаній були скомпрометовані актором національної держави. Вважається, що зловмисники пов'язані з Cozy Bear, він же APT29, він же російський уряд. Злом вдарив по кількох державних установах США, охоронній компанії FireEye та багатьох інших компаніях.
Коли відбуваються подібні порушення, головне питання полягає в тому, як хакери змогли проникнути насамперед. SolarWinds - велика американська компанія, яка розробляє програмне забезпечення для управління мережею та інфраструктурою, і має величезний список клієнтів. Схоже, дослідники безпеки вже якийсь час намагаються змусити компанію звернути увагу на основні недоліки у захисті.
Дослідник безпеки Вінот Кумар повідомив Reuters, що зв’язався з компанією в 2019 році, попередивши її про те, що кожен може отримати доступ до її сервера оновлення, відгадавши пароль „solarwinds123”. Reuters також повідомляє, що хакери, які заявляють, що можуть продати доступ до комп'ютерів SolarWinds з 2017 року. З формулювання історії не ясно, чи була пропозиція на спосіб проникнення в SolarWinds сама, чи чорна шапка пропонувала продати доступ до комп'ютери, які використовували програмне забезпечення SolarWinds.
Потім, є такий шматочок:
«Кайл Хенслован, співзасновник компанії Huntress із штату Меріленд - зауважив, що через кілька днів після того, як SolarWinds зрозуміла, що їх програмне забезпечення було скомпрометовано, шкідливі оновлення все ще доступні для завантаження».
Я хочу зрозуміти, що цей конкретний пароль не вважається засобом, за допомогою якого Cozy Bear отримав доступ до інструменту управління мережею SolarWinds, який отримав назву Orion, але це говорить про жахливу культуру безпеки в компанії, враховуючи потреби користувачів у безпеці даних. Оскільки Orion часто використовується для управління маршрутизаторами та комутаторами у великих корпоративних мережах, проникнення програмного забезпечення дало чорним капелюхам дивовижне вікно у зовнішній та внутрішній мережевий трафік майже 20 000 компаній, федеральних агентств та інших типів організацій.
Оскільки розслідування все ще триває, багато чого ми не знаємо, але приблизно 33 000 клієнтів із загальної кількості клієнтів у 330 000 клієнтів, як повідомляється, розгорнули Orion. Якщо дані SolarWinds точні, це означає, що до 54 відсотків клієнтської бази продукту може бути порушено. Ми знаємо, що APT29 не порушив безпосередньо сховище вихідного коду SolarWinds; атака націлена на систему побудови програмного забезпечення.
FireEye описує шлях зараження наступним чином:
Троянізований файл оновлення - це стандартний файл виправлення інсталятора Windows, який включає стислі ресурси, пов’язані з оновленням, включаючи троянізований компонент SolarWinds.Orion.Core.BusinessLayer.dll. Після встановлення оновлення шкідлива DLL буде завантажена законними SolarWinds.BusinessLayerHost.exe або SolarWinds.BusinessLayerHostx64.exe (залежно від конфігурації системи). Після періоду спокою до двох тижнів шкідливе програмне забезпечення спробує вирішити субдомен avsvmcloud [.] Com.
Хакери, які провели цю атаку, дуже, дуже хороші. Нова інформація свідчить про те, що вони стояли за низкою атак на певний аналітичний центр ще в 2019 та 2020 роках. Ars Technica має про це більше (це трохи стосується SolarWinds, але корисно, якщо ви хочете прочитати більше про те, що робить Cosy Bear та тактика, яку вона використовує).
Протягом останніх кількох днів було багато новин. SolarWinds видалив свій гучний список клієнтів, можливо, щоб захистити їх від поганої реклами. Microsoft та деякі її галузеві партнери захопили домен управління та керування, який використовується для запуску скомпрометованих машин.
Розслідування цього злому все ще триває, і ми поки не знаємо подробиць того, як це сталося, але атаки такого масштабу та складності, як правило, дуже серйозні. Компрометоване програмне забезпечення SolarWinds було використано для проникнення в CDC, Міністерство національної безпеки, Міністерство юстиції, Пентагон та Державний департамент. Слідчі очікують, що вони можуть виявити кілька векторів атаки, а не одну точку атаки.
Розслідування злому тривають на всіх рівнях, але Агентство з питань кіберінфраструктури та безпеки США наразі відсутнє на посаді керівника, оскільки президент Дональд Трамп звільнив Крістофера Кребса за відмову підтримати або підтримати його безпідставні заяви про фальсифікацію виборів. Також давно виникають занепокоєння тим, що CISA не має достатніх ресурсів для реагування на кризу такого масштабу та масштабу.
"Зараз у нас все гаразд", - заявив анонімний співробітник CISA Politico, але "це, мабуть, зміниться ... Багато агентств ще не знають, як вони в огні".
Ця історія розвивається щодня, коли з’являється нова інформація. Слабкий пароль на сервері оновлення SolarWinds, хоча, можливо, і не відповідає безпосередньо за нинішнє становище компанії, мало що добре говорить про основну ситуацію з безпекою.
Читати далі
Час оновлення: Google патчі 2 серйозні вразливості Chrome до нульового дня
На відміну від останніх кількох нульових днів, Google сам не знайшов цих дір у безпеці. Натомість його отримали анонімні сторонні сторони, і проблеми досить серйозні, що він не опублікував повної інформації. Досить сказати, що вам слід припинити відкладати це оновлення.
AMD розкриває спектральну вразливість в CPU Zen 3
AMD розкриває потенційну вразливість безпеки на його дзен 3 процесора з схожими до причальної атаки від декількох років тому, але компанія вважає, що ризик мінімальний.
Вразливість автомобіля Honda дозволяє віддалено розблокувати та запустити
Дослідники, які виявили експлуат, відомий як Rollingpwn, кажуть, що це може вплинути на всі транспортні засоби Honda з 2012 року за останніми моделями 2022. Однак Honda в даний час заперечує, що існує вразливість.
Старі вразливості з нульовим днем залишаються непридатними на Samsung, телефони Google
Нещодавню партію серйозних недоліків у GPU Mali ARM повідомили про проект нуль і фіксували виробником. Однак постачальники смартфонів ніколи не реалізували патчі, серед них сам Google.