所谓的针对美国政府的复杂网络攻击,一个简单的GitHub泄漏

2020-12-15 00:38:29

SolarWinds'从2019年开始的凭据暴露为FireEye和美国政府可能发生的违规行为提供了重要线索。它揭示了组织经常忽略的一个非常重要的方面–他们的不安全做法和效率低下的凭据。在我们测试或参与的数年间,SaveBreach在数百个组织中发现了薄弱的凭据,而FireEye漏洞似乎只是严重粗心和凭据薄弱的另一种情况。尽管尚未得到官方消息的证实,但我们现在可以推测这一点。这揭示了一个非常重要的难题,那就是攻击可能没有据报道的那么复杂。

在昨天发布的官方博客文章中,FireEye说,通过利用SolarWinds供应链通过SUNBURST Backdoor危害多名全球受害者,是一个高度躲避的攻击者。原始FireEye博客文章已在下面链接

但是,网络安全研究人员最近发布的一条推文暗示,这种危害可以追溯到2019年,即报告FireEye漏洞的一年之前,攻击者能够通过非常简单的技术来拥有自己的服务器。密码喷射是恶意攻击者用来破坏系统的非常普遍的技术。在SolarWinds的情况下,这甚至更简单,而较弱的凭据可能使黑客的工作更加轻松。

网络安全专家Vinoth Kumar暗示了这样一个事实,即犯罪者可能使用非常简单的技术违反了FireEye,与FireEye的主张相反,这不是高度复杂和回避的行为。 Kumar今天发表了以下推文,

正在阅读有关利用Solarwinds对FireEye进行复杂攻击的信息。嗯,那会怎么样?🤔。然后意识到他们的密码是***** 123🤣#FireEye #SolarWinds pic.twitter.com/foGzEOdytG

-Vinoth Kumar(@vinodsparrow)2020年12月14日

对于无法完全理解该推文的读者,Vinoth显然已于一年多以前的2020年11月19日访问了SolarWinds FTP服务器。他负责地向FireEye PSIRT团队报告了此安全事件。

上面的推文包括Vinoth与SolarWinds的电子邮件通信的屏幕截图。安全团队似乎已经承认了这个问题,但是不清楚事件发生后SolarWinds是否加强了服务器的安全性。

在公共GitHub存储库中公开密码是很常见的事情。我们已经确定了数千个属于公司的凭据,并负责任地举报了此类案件。这也发生在SolarWinds的情况下,Vinoth发现了他们的FTP服务器凭据,该凭据允许用户对SolarWinds'进行写访问。 FTP服务器,并让他们上传恶意文件和二进制文件。 Vinoth通过将测试文件上传到易受攻击的FTP服务器-downloads.solarwinds.com进行了测试,该文件显然托管着非常重要的文件,并且如果对其进行篡改,结果可能是灾难性的,这很可能是近期发生FireEye漏洞的原因。

SolarWinds' PSIRT团队对Vinoth的最后答复是2019年11月22日,距他的报告3天后,

他们告知他,公开凭据的Github存储库随后被SolarWinds删除。

Vinoth在推文中进一步提到密码是****** 123。我们的猜测是,该FTP服务器的密码为Admin123,保留了已编辑部分,这是一个非常弱的凭据。 Admin123是人们可以想到的最弱凭据的一个示例。

高级凭据填充工具可能需要几秒钟来执行此攻击,在这里似乎是这种情况。凭据薄弱且容易猜测,仍然是近来发生违规行为的一个非常普遍的原因。我们观察到许多大公司在其内部面板中使用admin:admin凭据,而我们进行了渗透测试和错误查找研究。

这是一个理想的示例,可以从中学习到证书不足的后果。组织应该从这些漏洞中了解攻击者仅通过猜测凭据和执行密码填充攻击即可轻易危害整个组织。

我们向网络安全专家Vinoth询问了他对这一漏洞的看法,以及组织如何保护自己免受这些所谓的复杂攻击。

问:正如您提到的那样,您在公开场合发现了一些凭证,您是否认为攻击者采用了类似的方法来使用简单的OSINT技术来窃取数据?

Vinoth:我认为攻击者必须使用与FTP服务器处于打开状态相同的方法。凭据不够强大。但是,由于二进制文件已签名,因此这是一次复杂的攻击。

问:您如何看待组织如何保护自己免受破坏并暴露其凭据?

Vinoth:通常,大多数公司都包括我们在内,使用自动扫描程序进行GitHub存储库扫描,以查看是否泄漏了内部凭证,并且安全凭证扫描应成为SDLC流程的一部分。

美国财政部,美国NTIA以及FireEye本身。此外,受害者包括世界各地的各种政府,咨询,技术,电信和采掘实体。该漏洞影响了某些版本的SolarWinds Orion Platform。

组织应执行安全审核并维护漏洞赏金计划。在这种情况下,Vinoth可以通过一个简单的GitHub dork来识别公开的凭据。凭据可能很弱这一事实,应该使黑客的生活更加轻松。

领先的初创公司和公司依靠SaveBreach进行深入的安全审核和渗透测试服务。 我们已经部署了内部工具,这些工具能够找到最困难的方法来跟踪数据泄漏,凭证填充攻击并监视GitHub泄漏。 凭借多年的漏洞赏金经验和实际的黑客经验,我们在保护您公司资产的方法中具有开箱即用的思想,因此可以严防各种危害您系统的非常规方法。 在savebreach(.com)小组与我们联系,讨论有关您组织的安全性–我们可以进行免费的安全性渗透测试,以便您决定是否继续前进!