[Информационная безопасность, GitHub] Данные авторизации взломанного «русскими хакерами» SolarWinds нашли на GitHub еще в 2019 году
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Учетные данные сервера обновлений ПО SolarWinds, который, по версии американских властей, был взломан хакерами из России, были опубликованы в открытом доступе на GitHub еще в прошлом году.
Винот Кумар, исследователь безопасности, заявил, что он предупреждал SolarWinds об этом еще в ноябре 2019 года. ИБ-исследователь отмечает, что тот пароль для авторизации, который, по его словам, он нашел в открытом доступе, является хрестоматийным примером слабого пароля.
Извините, данный ресурс не поддреживается. :(
Кумар пояснил, что «сервер обновлений был доступен с паролем solarwinds123». Спустя три дня после уведомления SolarWinds исправила проблему. Однако репозиторий на Github был до этого доступен в течение долгого времени. По словам исследователя, используя имя учетной записи и пароль, злоумышленник может загрузить вредонос и добавить его в обновление SolarWinds.
Согласно ранее опубликованному отчету FireEye, злоумышленники взломали ПО SolarWinds и внедрили вредоносное обновление в программу Orion, которая используется многими организациями по всему миру. Кроме того, при загрузке обновления злоумышленники получили доступ к сетям клиентов SolarWinds.
В итоге взлому подверглись правительственные учреждения США, в том числе все подразделения вооруженных сил, Агентство национальной безопасности, госдепартамент и офис президента. Атака затрагивает обновления, выпущенные в период с марта по июнь 2020 года.
Источники Washington Post полагают, что атаку осуществили проправительственные российские хакеры APT29, или Cozy Bear.
Кумар не смог сказать, сыграли ли открытые учетные данные сервера свою роль в компрометации Orion, хотя он признает, что это возможно: «Если бы они получили доступ к серверам сборки, им не потребовались бы учетные данные FTP. Но если бы они просто завладели сертификатом подписи и учетными данными FTP, они могли бы изменить .dll, подписать его и загрузить на FTP-сервер». При этом, отмечает он, наличие такого слабого пароля авторизации может говорить в целом об отношении компании к безопасности.
Кумар сказал, что выводы можно будет сделать после анализа кода вредоноса.
В собственной документации SolarWinds сообщается, что ее учетные записи Microsoft Office 365 были похищены, а система сборки подверглась злоупотреблениям, что противоречит возможности использования открытых учетных данных FTP для загрузки вредоносного кода. Компания утверждает, что вредонос не присутствовал в репозитории исходного кода продуктов Orion.
По данным Reuters, хакеры на подпольных форумах ранее предлагали продать доступ к компьютерам SolarWinds.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Open source, Git, GitHub, IT-компании] GitHub предупредил о переходе на токены и SSH-ключи при доступе к Git, пароли отменяются с 13 августа 2021 года
- [Информационная безопасность, Системное администрирование, IT-инфраструктура, Лайфхаки для гиков] Как не проиграть войну криптолокерам в 2021 году
- [Информационная безопасность] FireEye опубликовала подробности взлома SolarWinds и атаке на Минфин США
- [Информационная безопасность, DevOps] Вебинар «Опыт участия в кибербитве The Standoff: анализ атак и обзор инструментов»
- [Информационная безопасность, Мессенджеры, Криптография] Израильский производитель шпионского ПО заявил, что смог взломать мессенджер Signal
- [Информационная безопасность] Интернет беззащитных «вещей». Алгоритмы шифрования в IoT
- [Информационная безопасность, Криптография, Облачные вычисления, Хранение данных] Облачно, возможны осадки в виде атак
- [Информационная безопасность, Исследования и прогнозы в IT, Конференции] По следам черного лебедя: о чем говорили ИБ-эксперты на конференции «Умные решения – умная страна»
- [Информационная безопасность, IT-инфраструктура, IT-стандарты] Аттракцион неслыханной щедрости
- [Информационная безопасность] Эффективность Security Operations Center: на какие параметры смотреть?
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_github, #_solarwinds, #_orion, #_github, #_vredonosy (вредоносы), #_slabye_paroli (слабые пароли), #_utechka_dannyh (утечка данных), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_github
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 14:40
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
 Учетные данные сервера обновлений ПО SolarWinds, который, по версии американских властей, был взломан хакерами из России, были опубликованы в открытом доступе на GitHub еще в прошлом году. Винот Кумар, исследователь безопасности, заявил, что он предупреждал SolarWinds об этом еще в ноябре 2019 года. ИБ-исследователь отмечает, что тот пароль для авторизации, который, по его словам, он нашел в открытом доступе, является хрестоматийным примером слабого пароля. Извините, данный ресурс не поддреживается. :( Кумар пояснил, что «сервер обновлений был доступен с паролем solarwinds123». Спустя три дня после уведомления SolarWinds исправила проблему. Однако репозиторий на Github был до этого доступен в течение долгого времени. По словам исследователя, используя имя учетной записи и пароль, злоумышленник может загрузить вредонос и добавить его в обновление SolarWinds. Согласно ранее опубликованному отчету FireEye, злоумышленники взломали ПО SolarWinds и внедрили вредоносное обновление в программу Orion, которая используется многими организациями по всему миру. Кроме того, при загрузке обновления злоумышленники получили доступ к сетям клиентов SolarWinds. В итоге взлому подверглись правительственные учреждения США, в том числе все подразделения вооруженных сил, Агентство национальной безопасности, госдепартамент и офис президента. Атака затрагивает обновления, выпущенные в период с марта по июнь 2020 года. Источники Washington Post полагают, что атаку осуществили проправительственные российские хакеры APT29, или Cozy Bear. Кумар не смог сказать, сыграли ли открытые учетные данные сервера свою роль в компрометации Orion, хотя он признает, что это возможно: «Если бы они получили доступ к серверам сборки, им не потребовались бы учетные данные FTP. Но если бы они просто завладели сертификатом подписи и учетными данными FTP, они могли бы изменить .dll, подписать его и загрузить на FTP-сервер». При этом, отмечает он, наличие такого слабого пароля авторизации может говорить в целом об отношении компании к безопасности. Кумар сказал, что выводы можно будет сделать после анализа кода вредоноса. В собственной документации SolarWinds сообщается, что ее учетные записи Microsoft Office 365 были похищены, а система сборки подверглась злоупотреблениям, что противоречит возможности использования открытых учетных данных FTP для загрузки вредоносного кода. Компания утверждает, что вредонос не присутствовал в репозитории исходного кода продуктов Orion. По данным Reuters, хакеры на подпольных форумах ранее предлагали продать доступ к компьютерам SolarWinds. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_github |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 14:40
Часовой пояс: UTC + 5