Standardpassord er farlige, og saken som nå ruller om en omfattende IT-spionasjekampanje basert på Orion-plattformen til Solarwinds, viser seg å kunne være et nytt eksempel på nettopp dette.
Ifølge sikkerhetsforskeren Vinoth Kumar var det nemlig inntil nylig mulig for hvem som helst å få ukryptert FTP-tilgang til oppdateringsserveren til Solarwinds. Det er The Register som skriver dette, etter at Kumar tvitret om det hele på mandag.
Was reading about a sophisticated attack on FireEye leveraging Solarwinds. Hmmm how that would happened? ?. Then realized their password was *****123 ? #FireEye #SolarWinds pic.twitter.com/foGzEOdytG
– Vinoth Kumar (@vinodsparrow) December 14, 2020
![Solarwinds-hackere sal være på ferde igjen.](https://images.gfx.no/130x87/2636/2636217/coding-1841550_1920.jpg)
Hackere angrep byrået som oppbevarer atomvåpen i USA
Oppgitt i Github
Alt som skulle til, var å logge seg på med et brukernavn og passord som var blitt oppgitt i et Github-repositorium. Brukernavnet var «admin» og passordet var «solarwinds123». Et lignende passord ble oppgitt i en annen sammenheng i Solarwinds brukerforum i fjor.
Kumar varslet Solarwinds om svakheten den 19. november. Den 22. november skal Solarwinds ha bekreftet svakheten og oppgitt at den var rettet.
This is the last response I got from them. pic.twitter.com/Q24JGb3mvr
– Vinoth Kumar (@vinodsparrow) December 14, 2020
Kunne laste opp filer
Til The Register opplyser Kumar at det ville ha vært mulig for angripere å benytte innloggingsinformasjonen til å laste opp ondsinnede filer til serveren og i inkludere disse i en programvareoppdatering, men understreker at det ikke er gitt at det er dette som har skjedd.
![HP Norge](https://images.gfx.no/80x/2757/2757793/hp%2520logo.png)
![](https://images.gfx.no/cx0,cy1137,cw8192,ch2731,2000x/2848/2848258/hp_day4_roz_ambiente_maja_0384_shot_086%2520(1).jpg)
Kumar sier videre at angriperne i så fall også må ha fått tak i sertifikatet som Solarwinds bruker til å signere oppdateringsfilene med.
Solarwinds har opplyst at den aktuelle bakdøren som eksisterte i programvareoppdateringen til Orion, var blitt modifisert gjennom en kompromittering av selskapets byggsystem. Det tyder på at endringene ikke er gjort via FTP-serveren.
– Uansett var dette et virkelig svakt sikkerhetstiltak fra et stort selskap, sier Kumar til The Register.
![Microsoft har oppdaget at Solarwinds-hackerne fikk tilgang til kildekode.](https://images.gfx.no/130x87/2638/2638686/microsoft-4608125_1920.jpg)
Microsoft: – Solarwinds-hackerne fikk tilgang til kildekoden vår
En perfekt storm
Solarwinds har svært mange store og kjente kunder på kundelisten. Flere har blitt angrepet på grunn av bakdøren – Sunburst – som fulgte med Orion-oppdateringene. Andre vet kanskje ennå ikke om at de har blitt angrepet.
– Vi får kanskje ikke vite de virkelige konsekvensene på mange måneder, minst – om i det hele tatt noen gang, sier Kim Peretti, som jobber med IT-sikkerhetsrespons i det amerikanske advokatfirmaet Alston & Bird, til Reuters. Hun mener denne angrepskampanjen var timet for en perfekt storm, på samme tid som alle var opptatt med å ri av den første bølgen i koronapandemien.
![Innovasjon Norge](https://images.gfx.no/80x/2828/2828923/df17d6fe-c2a4-45b1-ada6-7cd31fc3c531.png)
![Derfor har norske bedrifter et unikt forsprang i India nå](https://images.gfx.no/1000x333/2846/2846314/image.png)
![Apple-sjef Tim Cook delte selv reklamefilmen for den nye Ipad Pro, som mange kunstnere reagerte sterkt på.](https://images.gfx.no/130x87/2840/2840006/NTB_bW7PGHtGvUY.jpg)
Knuste instrumenter i Ipad-annonse – nå ber Apple om unnskyldning