Standardpassord er farlige, og saken som nå ruller om en omfattende IT-spionasjekampanje basert på Orion-plattformen til Solarwinds, viser seg å kunne være et nytt eksempel på nettopp dette.
Ifølge sikkerhetsforskeren Vinoth Kumar var det nemlig inntil nylig mulig for hvem som helst å få ukryptert FTP-tilgang til oppdateringsserveren til Solarwinds. Det er The Register som skriver dette, etter at Kumar tvitret om det hele på mandag.
Was reading about a sophisticated attack on FireEye leveraging Solarwinds. Hmmm how that would happened? ?. Then realized their password was *****123 ? #FireEye #SolarWinds pic.twitter.com/foGzEOdytG
Oppgitt i Github
Alt som skulle til, var å logge seg på med et brukernavn og passord som var blitt oppgitt i et Github-repositorium. Brukernavnet var «admin» og passordet var «solarwinds123». Et lignende passord ble oppgitt i en annen sammenheng i Solarwinds brukerforum i fjor.
Kumar varslet Solarwinds om svakheten den 19. november. Den 22. november skal Solarwinds ha bekreftet svakheten og oppgitt at den var rettet.
Kunne laste opp filer
Til The Register opplyser Kumar at det ville ha vært mulig for angripere å benytte innloggingsinformasjonen til å laste opp ondsinnede filer til serveren og i inkludere disse i en programvareoppdatering, men understreker at det ikke er gitt at det er dette som har skjedd.
Kumar sier videre at angriperne i så fall også må ha fått tak i sertifikatet som Solarwinds bruker til å signere oppdateringsfilene med.
Solarwinds har opplyst at den aktuelle bakdøren som eksisterte i programvareoppdateringen til Orion, var blitt modifisert gjennom en kompromittering av selskapets byggsystem. Det tyder på at endringene ikke er gjort via FTP-serveren.
– Uansett var dette et virkelig svakt sikkerhetstiltak fra et stort selskap, sier Kumar til The Register.
En perfekt storm
Solarwinds har svært mange store og kjente kunder på kundelisten. Flere har blitt angrepet på grunn av bakdøren – Sunburst – som fulgte med Orion-oppdateringene. Andre vet kanskje ennå ikke om at de har blitt angrepet.
– Vi får kanskje ikke vite de virkelige konsekvensene på mange måneder, minst – om i det hele tatt noen gang, sier Kim Peretti, som jobber med IT-sikkerhetsrespons i det amerikanske advokatfirmaet Alston & Bird, til Reuters. Hun mener denne angrepskampanjen var timet for en perfekt storm, på samme tid som alle var opptatt med å ri av den første bølgen i koronapandemien.
