Las credenciales de SolarWinds estaban disponibles públicamente en GitHub

A principios de esta semana , un ataque masivo a la cadena de suministro afectó a SolarWinds y sus clientes. La lista de víctimas sigue creciendo y ahora se sabe que los piratas informáticos han comprometido:

  • La empresa estadounidense de seguridad de la información FireEye;
  • Departamento del Tesoro de los Estados Unidos;
  • La Administración Nacional de Informática y Telecomunicaciones (NTIA) del Departamento de Comercio de los Estados Unidos;
  • Institutos Nacionales de Salud, Departamento de Salud de EE. UU. (NIH);
  • La Agencia de Seguridad Cibernética y Protección de Infraestructura del Departamento de Seguridad Nacional de los Estados Unidos (DHS CISA);
  • Departamento de Seguridad Nacional (DHS);
  • Departamento de estado de los Estados Unidos.

Hackers desconocidos infectaron la plataforma Orion, diseñada para monitoreo y control centralizados, con el malware SUNBURST (también conocido como Solorigate). Normalmente, Orion se utiliza en grandes redes para rastrear todos los recursos de TI, como servidores, estaciones de trabajo, teléfonos móviles y dispositivos de IoT.

Microsoft ,  FireEye  y la Agencia de Seguridad Cibernética y Protección de Infraestructura ( DHS CISA ) del Departamento de Seguridad Nacional de EE. UU. Publicaron sus propios indicadores de compromiso e instrucciones para trabajar con sistemas infectados   .

De los 300.000 clientes de la empresa, solo se sabe que 33.000 han utilizado Orion, y todos ellos ya han sido notificados del incidente. Al mismo tiempo, según SolarWinds, se instaló una versión infectada de la plataforma Orion en 18.000 clientes.

Fuga de datos

SolarWinds no ha revelado oficialmente cómo exactamente los piratas informáticos lograron infiltrarse en su red. Pero muchos medios llamaron la atención sobre las declaraciones del investigador de ciberseguridad Vinoth Kumar, quien afirma que las credenciales del servidor de actualización SolarWinds estaban disponibles gratuitamente en el repositorio oficial de GitHub de la compañía en 2018. Según Kumar, notó esta filtración en noviembre y la contraseña del servidor era simple: «solarwinds123».

Kumar escribió que al usar estas credenciales, pudo cargar el archivo en el servidor de la compañía, demostrando así que el sistema era inseguro, lo cual notificó a SolarWinds en noviembre de 2020. Como resultado, la fuga se solucionó el 22 de noviembre.

El investigador no afirma que esta credencial en particular haya jugado ningún papel en el hackeo de la plataforma Orion, pero admite que es posible. El hecho es que, no obstante, se firmaron los binarios maliciosos de Orion, lo que sugiere un compromiso más amplio de la red de la empresa.

“Si tuvieran acceso a los servidores de compilación, no necesitarían credenciales FTP. Pero si simplemente obtuvieron el certificado de firma y las credenciales de FTP, podrían modificar el .dll, firmarlo y cargarlo en el servidor FTP ”, dijo Kumar a The Register .

La teoría de las credenciales filtradas también está confirmada por la agencia de noticias Reuters , según cuyas fuentes, el acceso a los sistemas SolarWinds se ha vendido durante mucho tiempo en la darknet.

Los analistas de Group-IB también informan esto . Según ellos, un hacker de Kazajstán, conocido como Fxmsp, en octubre de 2017, estaba vendiendo acceso a http://solarwinds.com y http://dameware.com (software de control remoto de Solarwinds) en el famoso exploit de foro clandestino [. ] en. Además, las empresas estuvieron entre las primeras, cuyo acceso Fxmsp puso a la venta al público.

Microsoft bloquea el dominio de los piratas informáticos

Mientras tanto, ZDNet , citando sus propias fuentes en la industria, escribe que Microsoft y sus socios han tomado el control del dominio que jugó un papel importante en comprometer SolarWinds y le dio un sumidero. Este es el dominio avsvmcloud [.] Com, que sirvió como servidor de comando y control para el malware SUNBURST, que se extendió por las redes de 18.000 clientes de SolarWinds a través de la versión maliciosa de Orion.

Fuentes de la publicación describen esta operación como «protectora», destinada a evitar que los operadores de malware transmitan nuevos comandos a los equipos infectados.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: