Дослідник безпеки: "solarwinds123" Пароль, що залишив фірму вразливою у 2019 році

Дослідник безпеки: "solarwinds123" Пароль, що залишив фірму вразливою у 2019 році

Сага про SolarWinds поступово погіршується. Кілька днів тому з’явилася новина про те, що близько 18 000 компаній були скомпрометовані актором національної держави. Вважається, що зловмисники пов'язані з Cozy Bear, він же APT29, він же російський уряд. Злом вдарив по кількох державних установах США, охоронній компанії FireEye та багатьох інших компаніях.

Коли відбуваються подібні порушення, головне питання полягає в тому, як хакери змогли проникнути насамперед. SolarWinds - велика американська компанія, яка розробляє програмне забезпечення для управління мережею та інфраструктурою, і має величезний список клієнтів. Схоже, дослідники безпеки вже якийсь час намагаються змусити компанію звернути увагу на основні недоліки у захисті.

Дослідник безпеки Вінот Кумар повідомив Reuters, що зв’язався з компанією в 2019 році, попередивши її про те, що кожен може отримати доступ до її сервера оновлення, відгадавши пароль „solarwinds123”. Reuters також повідомляє, що хакери, які заявляють, що можуть продати доступ до комп'ютерів SolarWinds з 2017 року. З формулювання історії не ясно, чи була пропозиція на спосіб проникнення в SolarWinds сама, чи чорна шапка пропонувала продати доступ до комп'ютери, які використовували програмне забезпечення SolarWinds.

Потім, є такий шматочок:

«Кайл Хенслован, співзасновник компанії Huntress із штату Меріленд - зауважив, що через кілька днів після того, як SolarWinds зрозуміла, що їх програмне забезпечення було скомпрометовано, шкідливі оновлення все ще доступні для завантаження».

Дослідник безпеки: "solarwinds123" Пароль, що залишив фірму вразливою у 2019 році

Я хочу зрозуміти, що цей конкретний пароль не вважається засобом, за допомогою якого Cozy Bear отримав доступ до інструменту управління мережею SolarWinds, який отримав назву Orion, але це говорить про жахливу культуру безпеки в компанії, враховуючи потреби користувачів у безпеці даних. Оскільки Orion часто використовується для управління маршрутизаторами та комутаторами у великих корпоративних мережах, проникнення програмного забезпечення дало чорним капелюхам дивовижне вікно у зовнішній та внутрішній мережевий трафік майже 20 000 компаній, федеральних агентств та інших типів організацій.

Оскільки розслідування все ще триває, багато чого ми не знаємо, але приблизно 33 000 клієнтів із загальної кількості клієнтів у 330 000 клієнтів, як повідомляється, розгорнули Orion. Якщо дані SolarWinds точні, це означає, що до 54 відсотків клієнтської бази продукту може бути порушено. Ми знаємо, що APT29 не порушив безпосередньо сховище вихідного коду SolarWinds; атака націлена на систему побудови програмного забезпечення.

FireEye описує шлях зараження наступним чином:

Троянізований файл оновлення - це стандартний файл виправлення інсталятора Windows, який включає стислі ресурси, пов’язані з оновленням, включаючи троянізований компонент SolarWinds.Orion.Core.BusinessLayer.dll. Після встановлення оновлення шкідлива DLL буде завантажена законними SolarWinds.BusinessLayerHost.exe або SolarWinds.BusinessLayerHostx64.exe (залежно від конфігурації системи). Після періоду спокою до двох тижнів шкідливе програмне забезпечення спробує вирішити субдомен avsvmcloud [.] Com.

Хакери, які провели цю атаку, дуже, дуже хороші. Нова інформація свідчить про те, що вони стояли за низкою атак на певний аналітичний центр ще в 2019 та 2020 роках. Ars Technica має про це більше (це трохи стосується SolarWinds, але корисно, якщо ви хочете прочитати більше про те, що робить Cosy Bear та тактика, яку вона використовує).

Протягом останніх кількох днів було багато новин. SolarWinds видалив свій гучний список клієнтів, можливо, щоб захистити їх від поганої реклами. Microsoft та деякі її галузеві партнери захопили домен управління та керування, який використовується для запуску скомпрометованих машин.

Розслідування цього злому все ще триває, і ми поки не знаємо подробиць того, як це сталося, але атаки такого масштабу та складності, як правило, дуже серйозні. Компрометоване програмне забезпечення SolarWinds було використано для проникнення в CDC, Міністерство національної безпеки, Міністерство юстиції, Пентагон та Державний департамент. Слідчі очікують, що вони можуть виявити кілька векторів атаки, а не одну точку атаки.

Розслідування злому тривають на всіх рівнях, але Агентство з питань кіберінфраструктури та безпеки США наразі відсутнє на посаді керівника, оскільки президент Дональд Трамп звільнив Крістофера Кребса за відмову підтримати або підтримати його безпідставні заяви про фальсифікацію виборів. Також давно виникають занепокоєння тим, що CISA не має достатніх ресурсів для реагування на кризу такого масштабу та масштабу.

"Зараз у нас все гаразд", - заявив анонімний співробітник CISA Politico, але "це, мабуть, зміниться ... Багато агентств ще не знають, як вони в огні".

Ця історія розвивається щодня, коли з’являється нова інформація. Слабкий пароль на сервері оновлення SolarWinds, хоча, можливо, і не відповідає безпосередньо за нинішнє становище компанії, мало що добре говорить про основну ситуацію з безпекою.

Читати далі

Генеральний директор Google обіцяє дослідити вихід найкращого дослідника ШІ
Генеральний директор Google обіцяє дослідити вихід найкращого дослідника ШІ

Генеральний директор Google Сундар Пічаї вдарився до фурору, пов’язаного з припиненням дії етичного інтелекту д-ра Тімніта Гебру, але його пам’ятка може мало допомогти ситуації.

Intel, дослідники обговорюють, чи існують нові уразливості типу SPECTER-типу
Intel, дослідники обговорюють, чи існують нові уразливості типу SPECTER-типу

Дослідники стверджують, що знайшли новий тип причальної атаки, який обходить всі існуючі захисні огородження, але, що оформлення не підтримується.

Intel наймає колишнього дослідника NVIDIA, який допоміг розробити Tech Tech
Intel наймає колишнього дослідника NVIDIA, який допоміг розробити Tech Tech

Intel найняв один з архітекторів технології RTX NVIDIA як власного VP графічних досліджень.

Дослідники оголошують найбільш точне вимірювання, яке коли-небудь вживало вільного тривалого життя ней
Дослідники оголошують найбільш точне вимірювання, яке коли-небудь вживало вільного тривалого життя ней

Всесвітня співпраця вчених оголосила про найбільш точне вимірювання, яке коли-небудь вживало термін служби нейтрона. Як? Даючи нейтрони приємним довгим замочуванням у нейтронній ванті. "