Innbruddet og datalekkasjen som revisjons- og rådgivningsselskapet Deloitte innrømmet tidligere denne uken, har fått sikkerhetsforskere til å se nærmere på selskapets infrastruktur. Allerede etter én dag har sikkerhetsforskere og andre kommet med flere oppsiktsvekkende avsløringer.
Ikke minst gjelder dette Dan Tentler, grunnleggeren av IT-sikkerhetsselskapet Phobos Group. Ved hjelp av den mye brukte søketjenesten Shodan hadde han i løpet av én dag tidligere denne uken funnet mellom 7 og 12 tusen datamaskiner som var åpent tilgjengelige på internett, alle tilhørende Deloitte.
Bakgrunn: Hackere hadde tilgang til kundeepost hos revisjonsgigant i flere måneder
_logo.svg.png){kind=logo}
Helt åpent
– Vi snakker om dusinvis av forretningsenheter rundt på om på planeten, med dusinvis av IT-avdelinger med svært forskjellige ferdighetsnivåer. Det får en til å tenke på uttrykket «truly exploitable», sier Tentler til The Register.
Ifølge den britiske utgaven av teknologinettstedet, dreier det seg om mengder av interne og potensielt kritiske systemer med som helt unødvendig er eksponert med remote desktop-tjenester på det åpne internettet. The Register skriver at beste praksis tilsier at slike tjenester gjemmes bak en brannmur eller benytter to-faktor autentisering for å få tilgang. Gjerne begge deler.
– Dette er sannsynligvis, og ironisk nok, den beste praksisen som Deloitte anbefaler til sine klienter, skriver The Register.
Ifølge Deloitte selv har Gartner fem år på rad gitt Deloitte første plass i rangeringen av konsulentvirksomheter innen IT-sikkerhet. Men rangeringen er basert på omsetning, ikke kvalitet.
Adminkontoer og kun passord
Tentler har på Twitter offentliggjort et konkret eksempel på hvor åpenbare sikkerhetsmanglene hos enkelte Deloitte-avdelinger kan være. Bildet nedenfor viser fjerntilgang til Windows Server 2012 R2-maskin hvor man kan logge på direkte som administratorbruker. På innloggingsskjermen varsles det også om at det er viktige oppdateringer på maskinen som ikke har blitt installert. Serveren befinner seg trolig i Sør-Afrika. Trolig dreier det seg om en Active Directory-server.
— Dan Tentler (@Viss) 26. september 2017
Dessverre stopper det ikke der.
«WannaCry-porten»
Både Tentler og den britiske sikkerhetsarkitekten Kevin Beaumont forteller på Twitter at de har funnet Deloitte-servere med NetBIOS og port 445 eksponert på internett. Mange vil huske at det var via port 445 skadevare som WannaCry og DoublePulsar kunne spre seg, riktignok kombinert med en gammel og sårbar utgave av SMB (Server Message Block).
Et eksempel på en slik server er nevnt her. Denne amerikanske serveren var tilgjengelig på internett den 25. september, men ser nå ut til å være stengt eller tatt av nettet.
Deloittes’ US offices have everything from Netbios to RDP to Exchange Admin (single factor) etc etc etc. They should get an auditor. pic.twitter.com/C8aoN5YQMn
— Kevin Beaumont ? (@GossiTheDog) 25. september 2017
Tirsdag ble det dessuten kjent at noen har publisert en rekke detaljer om en samling a Deloittes VPN-tjenester, inkludert brukernavn og passord, i et offentlig tilgjengelig repositorium hos Github. Dette ble senere fjernet, men ikke før The Register hadde fått tatt et skjermbilde av det.
I tillegg skal en angivelig Deloitte-ansatt ha lastet opp innloggingsinformasjon til Deloitte-proxy på vedkommendes Google+-konto. Dette skal ha ligget der et halvt år før det ble fjernet på tirsdag denne uken.
Deloitte skal ikke ha svart på en forespørsel fra The Register om å kommentere saken.
Les også: Hackergruppe utnytter NSA-verktøy til å stjele Windows-passordene til hotellgjester
