Взломанный сервер обновлений SolarWinds был защищён паролем 'solarwinds123'
На Хабре уже несколько раз упоминали уникальный взлом компании SolarWinds. В популярный корпоративный софт SolarWinds Orion для мониторинга сетей (используется в армии, министерстве обороны, АНБ, IRS, почти всех компаниях списка Fortune 500) внедрили бэкдор, который так хорошо замаксирован, что многие удивлялись, как его вообще обнаружили, пусть и через полгода работы. Говорят, владельцы бэкдора воспользовались им всего несколько десятков раз, хотя под их контролем была фактически вся компьютерная инфраструктура США.
Сейчас всплывают подробности, как неизвестным удалось провернуть операцию по внедрению трояна в файлы обновления SolarWinds с валидной цифровой подписью. Эти подробности иногда забавные.
Например, специалисты выражают сомнение, что инфраструктура SolarWinds была должным образом защищена. В прошлом году компанию уличили в том, что на доступ к серверу обновлений установлен пароль solarwinds123
.
Формально это довольно длинный пароль (13 символов) с достаточно высокой энтропией (48,3 бита). Но в реальности это один из самых простых вариантов, которые первыми приходят в голову, если попытаться придумать пароль для компании SolarWinds. Само слово solarwinds
в любом случае войдёт в словарь для брутфорса при такой таргетированной атаке. Так что пароль быстро подбирается и вручную, и автоматически.
Некоторые аналитики выражают удивление, что компания SolarWinds, которая защищает инфраструктуру американской армии, разведки, спецслужб, крупнейших корпораций США, сама защищена таким простым паролем, что его «может придумать даже идиот».
По мнению отдельных специалистов, этот бардак в мире будет продолжаться до тех пор, пока политики, бизнесмены, руководство компаний и все остальные люди не поймут, что компьютерная безопасность — главный приоритет на сегодняшний день.
Из-за того, что какая-то секретарша плохо разбирается в компьютерной безопасности, целая страна может проиграть войну.
На прошлой неделе SolarWinds опубликовала разъяснение для SEC с оценкой ситуации по инциденту. Компания отметила, что ущерб от взлома её сетевой инфраструктуры не такой уж большой. Из 300 000 клиентов компании были активными пользователями в указанный период не более 33 000 компаний, а бэкдор поставили не более 18 000. Однако факт остаётся фактом: как минимум на полгода многие крупные американские организации были под контролем неизвестных лиц.