Sunburst

Det var svært lett å gjette passordet til Solarwinds' oppdateringsserver

Var til og med oppgitt på Github.

«solar123» eller «solarwinds123» har tydeligvis vært en form for standardpassord hos Solarwinds. Det ene ble også brukt av admin-kontoen på selskapet FTP-server.
«solar123» eller «solarwinds123» har tydeligvis vært en form for standardpassord hos Solarwinds. Det ene ble også brukt av admin-kontoen på selskapet FTP-server. (Illustrasjon: MyImages - Micha Klootwijk/Colourbox. Montasje: Digi.no)

Var til og med oppgitt på Github.

Standardpassord er farlige, og saken som nå ruller om en omfattende IT-spionasjekampanje basert på Orion-plattformen til Solarwinds, viser seg å kunne være et nytt eksempel på nettopp dette.

Ifølge sikkerhetsforskeren Vinoth Kumar var det nemlig inntil nylig mulig for hvem som helst å få ukryptert FTP-tilgang til oppdateringsserveren til Solarwinds. Det er The Register som skriver dette, etter at Kumar tvitret om det hele på mandag.

Was reading about a sophisticated attack on FireEye leveraging Solarwinds. Hmmm how that would happened? 🤔. Then realized their password was *****123 🤣 #FireEye #SolarWinds pic.twitter.com/foGzEOdytG

Les også

Oppgitt i Github

Alt som skulle til, var å logge seg på med et brukernavn og passord som var blitt oppgitt i et Github-repositorium. Brukernavnet var «admin» og passordet var «solarwinds123». Et lignende passord ble oppgitt i en annen sammenheng i Solarwinds brukerforum i fjor.

Kumar varslet Solarwinds om svakheten den 19. november. Den 22. november skal Solarwinds ha bekreftet svakheten og oppgitt at den var rettet.

Kunne laste opp filer

Til The Register opplyser Kumar at det ville ha vært mulig for angripere å benytte innloggingsinformasjonen til å laste opp ondsinnede filer til serveren og i inkludere disse i en programvareoppdatering, men understreker at det ikke er gitt at det er dette som har skjedd.

Kumar sier videre at angriperne i så fall også må ha fått tak i sertifikatet som Solarwinds bruker til å signere oppdateringsfilene med.

Solarwinds har opplyst at den aktuelle bakdøren som eksisterte i programvareoppdateringen til Orion,  var blitt modifisert gjennom en kompromittering av selskapets byggsystem. Det tyder på at endringene ikke er gjort via FTP-serveren.

– Uansett var dette et virkelig svakt sikkerhetstiltak fra et stort selskap, sier Kumar til The Register.

Les også

En perfekt storm

Solarwinds har svært mange store og kjente kunder på kundelisten. Flere har blitt angrepet på grunn av bakdøren – Sunburst – som fulgte med Orion-oppdateringene. Andre vet kanskje ennå ikke om at de har blitt angrepet.

– Vi får kanskje ikke vite de virkelige konsekvensene på mange måneder, minst – om i det hele tatt noen gang, sier Kim Peretti, som jobber med IT-sikkerhetsrespons i det amerikanske advokatfirmaet Alston & Bird, til Reuters. Hun mener denne angrepskampanjen var timet for en perfekt storm, på samme tid som alle var opptatt med å ri av den første bølgen i koronapandemien.

Les også

Kommentarer (1)

Kommentarer (1)
Til toppen