Standardpassord er farlige, og saken som nå ruller om en omfattende IT-spionasjekampanje basert på Orion-plattformen til Solarwinds, viser seg å kunne være et nytt eksempel på nettopp dette.
Ifølge sikkerhetsforskeren Vinoth Kumar var det nemlig inntil nylig mulig for hvem som helst å få ukryptert FTP-tilgang til oppdateringsserveren til Solarwinds. Det er The Register som skriver dette, etter at Kumar tvitret om det hele på mandag.
Was reading about a sophisticated attack on FireEye leveraging Solarwinds. Hmmm how that would happened? ?. Then realized their password was *****123 ? #FireEye #SolarWinds pic.twitter.com/foGzEOdytG
– Vinoth Kumar (@vinodsparrow) December 14, 2020
Hackere angrep byrået som oppbevarer atomvåpen i USA
Oppgitt i Github
Alt som skulle til, var å logge seg på med et brukernavn og passord som var blitt oppgitt i et Github-repositorium. Brukernavnet var «admin» og passordet var «solarwinds123». Et lignende passord ble oppgitt i en annen sammenheng i Solarwinds brukerforum i fjor.
Kumar varslet Solarwinds om svakheten den 19. november. Den 22. november skal Solarwinds ha bekreftet svakheten og oppgitt at den var rettet.
This is the last response I got from them. pic.twitter.com/Q24JGb3mvr
– Vinoth Kumar (@vinodsparrow) December 14, 2020
Kunne laste opp filer
Til The Register opplyser Kumar at det ville ha vært mulig for angripere å benytte innloggingsinformasjonen til å laste opp ondsinnede filer til serveren og i inkludere disse i en programvareoppdatering, men understreker at det ikke er gitt at det er dette som har skjedd.
Kumar sier videre at angriperne i så fall også må ha fått tak i sertifikatet som Solarwinds bruker til å signere oppdateringsfilene med.
Solarwinds har opplyst at den aktuelle bakdøren som eksisterte i programvareoppdateringen til Orion, var blitt modifisert gjennom en kompromittering av selskapets byggsystem. Det tyder på at endringene ikke er gjort via FTP-serveren.
– Uansett var dette et virkelig svakt sikkerhetstiltak fra et stort selskap, sier Kumar til The Register.
Microsoft: – Solarwinds-hackerne fikk tilgang til kildekoden vår
En perfekt storm
Solarwinds har svært mange store og kjente kunder på kundelisten. Flere har blitt angrepet på grunn av bakdøren – Sunburst – som fulgte med Orion-oppdateringene. Andre vet kanskje ennå ikke om at de har blitt angrepet.
– Vi får kanskje ikke vite de virkelige konsekvensene på mange måneder, minst – om i det hele tatt noen gang, sier Kim Peretti, som jobber med IT-sikkerhetsrespons i det amerikanske advokatfirmaet Alston & Bird, til Reuters. Hun mener denne angrepskampanjen var timet for en perfekt storm, på samme tid som alle var opptatt med å ri av den første bølgen i koronapandemien.
Ny satsing: Nå skal OpenAI bygge fremtidens roboter