2020年SolarWinds供应链攻击,实习生和弱口令背锅

随着美国这帮网络安全研究人员继续拼凑庞大的SolarWinds供应链攻击地图,公司高管们开始指责一名实习生造成这次惊天世纪攻击。

报道称,自2018年6月17日以来弱口令“ solarwinds123 ”可以通过GitHub存储库公开访问,后在2019年11月22日解决了该错误配置。但在周五举行的关于SolarWinds的监督与改革和国土安全内务委员会的听证会上,首席执行官Sudhakar Ramakrishna证明该密码早在2017年就已使用。

迄今为止,SolarWinds供应链攻击事件至少有9个政府机构和100家私营部门的公司受影响,美国人称该攻击事件属于最复杂、计划最周密的行动之一,涉及将恶意植入物注入Orion软件平台,以攻击其客户。

实习生犯的一个错误

加利福尼亚州的代表凯蒂·波特说:“我拥有比'solarwinds123'更强的密码,可以阻止我的孩子在iPad上观看过多的YouTube视频。你和你的公司应该阻止俄罗斯人阅读国防部的电子邮件。”

Ramakrishna在回应Porter时说:“,我相信这是一名实习生在2017年在他的一台服务器上使用的密码,该密码已报告给我们的安全团队,该密码已被立即删除。”

前首席执行官凯文·汤普森(Kevin Thompson)在证词中回应了Ramakrishna的说法。汤普森说:“这与实习生犯的一个错误有关,他违反了我们的密码政策,并将该密码发布到了自己的私人GitHub帐户上,并引起我的安全团队的注意,他就把它撤下了。”

SolarWinds在2021年1月遭到集体诉讼,指控该公司未能披露“自2020年中以来,SolarWinds Orion监视产品存在一个漏洞,该漏洞使黑客能够破坏服务器上的产品运行,并且 SolarWinds的更新服务器具有易于访问的密码'solarwinds123'”,该公司商誉受损看来难逃此劫了。

NASA和FAA也成为目标

前期报道有18,000个SolarWinds客户已经收到了带有木马病毒Orion的更新。据《华盛顿邮报》报道,黑客除了渗透到Microsoft、FireEye、Malwarebytes、CrowdStrike和Mimecast的网络之外,攻击者还利用SolarWinds渗透到了美国国家航空航天局(NSA)和联邦航空管理局(FAA) 。

其他七个被攻击机构分别是美国的国务院、司法、商务、国土安全、能源、财政部和国立卫生研究院。同时,微软总裁布拉德·史密斯认为还存在尚未确定的受害者。

美国的安全企业认为此次黑客组织具有俄罗斯血统,正在以不同的绰号进行追踪,包括UNC2452(FireEye)、SolarStorm(Palo Alto Unit 42)、StellarParticle(CrowdStrike)和Dark Halo(Volexity)。

SolarWinds供应链攻击事件其实给我们也有几点启示,我们先假定所有报道真实前提下:

一则软件安全补丁更新本身是提升信息系统安全的,然而一旦源头被人破坏篡改,那么影响面将是巨大的;

二则供应链攻击往往APT性质,可能隐藏时间很长;

三则人是网络安全中最不可捉摸的部分,也是最脆弱的部分。

人在工作中,往往喜欢“简单”。我在给工作中给客户培训或交流过程中,常常给客户开玩笑说:“你简单了,黑客也简单了!黑客就喜欢越简单越好!”。网络安全工作一方面没有一劳永逸,另一方面人工作中的陋习或安逸,正是安全隐患的雷。当然,像这种弱口令问题,在各种培训和规章制度中,都会有所警示,不过人天生都有惰性,都喜欢懒省事。也就是说,网络安全第一道防线:安全意识,没有建立起来。

切记!切记!

网络安全意识的建立以及知行合一,是非常有必要的!


一起简单了解一下美国TCSEC分类及分级
1994-2017等级保护政策及法律发展历程
2021年一月份恶意软件之“十恶不赦”排行榜
网络安全等级保护:信息技术服务从业人员能力培养
网络安全等级保护:网络产品和服务安全通用要求之基本级安全通用要求
(0)

相关推荐