SIKKERHET

Det var svært lett å gjette passordet til Solarwinds' oppdateringsserver

Var til og med oppgitt på Github.

«solar123» eller «solarwinds123» har tydeligvis vært en form for standardpassord hos Solarwinds. Det ene ble også brukt av admin-kontoen på selskapet FTP-server.
«solar123» eller «solarwinds123» har tydeligvis vært en form for standardpassord hos Solarwinds. Det ene ble også brukt av admin-kontoen på selskapet FTP-server. Illustrasjon: MyImages - Micha Klootwijk/Colourbox. Montasje: Digi.no
Harald BrombachHarald BrombachNyhetsleder
16. des. 2020 - 14:23

Standardpassord er farlige, og saken som nå ruller om en omfattende IT-spionasjekampanje basert på Orion-plattformen til Solarwinds, viser seg å kunne være et nytt eksempel på nettopp dette.

Ifølge sikkerhetsforskeren Vinoth Kumar var det nemlig inntil nylig mulig for hvem som helst å få ukryptert FTP-tilgang til oppdateringsserveren til Solarwinds. Det er The Register som skriver dette, etter at Kumar tvitret om det hele på mandag.

Was reading about a sophisticated attack on FireEye leveraging Solarwinds. Hmmm how that would happened? ?. Then realized their password was *****123 ? #FireEye #SolarWinds pic.twitter.com/foGzEOdytG

Solarwinds-hackere sal være på ferde igjen.
Les også

Hackere angrep byrået som oppbevarer atomvåpen i USA

Oppgitt i Github

Alt som skulle til, var å logge seg på med et brukernavn og passord som var blitt oppgitt i et Github-repositorium. Brukernavnet var «admin» og passordet var «solarwinds123». Et lignende passord ble oppgitt i en annen sammenheng i Solarwinds brukerforum i fjor.

Kumar varslet Solarwinds om svakheten den 19. november. Den 22. november skal Solarwinds ha bekreftet svakheten og oppgitt at den var rettet.

Kunne laste opp filer

Til The Register opplyser Kumar at det ville ha vært mulig for angripere å benytte innloggingsinformasjonen til å laste opp ondsinnede filer til serveren og i inkludere disse i en programvareoppdatering, men understreker at det ikke er gitt at det er dette som har skjedd.

Kumar sier videre at angriperne i så fall også må ha fått tak i sertifikatet som Solarwinds bruker til å signere oppdateringsfilene med.

Solarwinds har opplyst at den aktuelle bakdøren som eksisterte i programvareoppdateringen til Orion,  var blitt modifisert gjennom en kompromittering av selskapets byggsystem. Det tyder på at endringene ikke er gjort via FTP-serveren.

– Uansett var dette et virkelig svakt sikkerhetstiltak fra et stort selskap, sier Kumar til The Register.

Microsoft har oppdaget at Solarwinds-hackerne fikk tilgang til kildekode.
Les også

Microsoft: – Solarwinds-hackerne fikk tilgang til kildekoden vår

En perfekt storm

Solarwinds har svært mange store og kjente kunder på kundelisten. Flere har blitt angrepet på grunn av bakdøren – Sunburst – som fulgte med Orion-oppdateringene. Andre vet kanskje ennå ikke om at de har blitt angrepet.

– Vi får kanskje ikke vite de virkelige konsekvensene på mange måneder, minst – om i det hele tatt noen gang, sier Kim Peretti, som jobber med IT-sikkerhetsrespons i det amerikanske advokatfirmaet Alston & Bird, til Reuters. Hun mener denne angrepskampanjen var timet for en perfekt storm, på samme tid som alle var opptatt med å ri av den første bølgen i koronapandemien.

Artikkelen fortsetter etter annonsen
annonse
Schneider Electric
Schneider Electric lanserer Galaxy VXL UPS
Schneider Electric lanserer Galaxy VXL UPS
Open AIs «Work with Apps»-funksjon skal gjøre det mindre nødvendig å klippe og lime innhold mellom apper og Chat GPT.
Les også

Mac-brukere kan snart slippe «klipp og lim» fra Chat GPT

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Jobbsøknad: Slik skiller du deg ut i den store bunken
Les mer
Jobbsøknad: Slik skiller du deg ut i den store bunken
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra