Ένας ερευνητής ασφαλείας προειδοποίησε πέρυσι την εταιρεία κολοσσό ανάπτυξης λογισμικού-δικτύων SolarWinds ότι καθένας μπορούσε να αποκτήσει πρόσβαση στο λογισμικό ενημέρωσης του διακομιστή της χρησιμοποιώντας τον κωδικό: “solarwinds123”.
«Αυτό θα μπορούσε να γίνει εύκολα από οποιονδήποτε επίδοξο εισβολέα», είπε ο Βίνοθ Κούμαρ, ερευνητής ασφαλείας που ανακάλυψε τον σχετικά αδύναμο κωδικό πρόσβασης.
Η SolarWinds άρχισε να υφίσταται εξονυχιστικό έλεγχο μετά την αποκάλυψη ότι έχει αποτελέσει αντικείμενο σοβαρής ηλεκτρονικής παραβίασης. Η εταιρεία εξυπηρετεί τη συντριπτική πλειοψηφία των 500 μεγαλύτερων εταιρειών της Αμερικής καθώς και των σημαντικότερων κυβερνητικών υπηρεσιών των ΗΠΑ.
Ένας άλλος εμπειρογνώμονας στον τομέα της κυβερνοασφάλειας, ο Κάιλ Χάνσλοβαν, παρατήρησε μέρες αφότου η SolarWinds συνειδητοποίησε ότι το λογισμικό της είχε παραβιαστεί, ότι οι κακόβουλες ενημερώσεις ήταν ακόμα διαθέσιμες για λήψη.
Η εταιρεία δήλωσε σε κατάθεσή της στην Επιτροπή Κεφαλαιαγοράς πως πιστεύει ότι έως και 18.000 πελάτες του δικτύου της Orion εγκατέστησαν ενημερώσεις, γεγονός το οποίο, όπως λένε οι ειδικοί, τους έκανε ευάλωτους σε μια επίθεση βασισμένη σε ένα κακόβουλο λογισμικό γνωστό και ως SUNBURST.
«Υπήρξε σημαντική κάλυψη από τα μέσα ενημέρωσης όσον αναφορά τις επιθέσεις σε κυβερνητικές υπηρεσίες των ΗΠΑ και σε άλλες εταιρείες, με πολλές από αυτές τις αναφορές να αποδίδουν αυτές τις επιθέσεις σε ένα “κενό ασφαλείας” των προϊόντων της Orion. Η SolarWinds εξακολουθεί να διερευνά το εάν, και σε ποιο βαθμό, ένα κενό ασφαλείας που βρέθηκε στα προϊόντα της Orion έγινε αντικείμενο εκμετάλλευσης σε κάποια από τις αναφερόμενες επιθέσεις», δήλωσε η SolarWinds σε μια κατάθεση στην Επιτροπή Κεφαλαιαγοράς τη Δευτέρα.
Η SolarWinds εξυπηρετεί περισσότερους από 300.000 πελάτες παγκοσμίως. Σύμφωνα με μια μερική λίστα πελατών που έχει διαγραφεί από το διαδίκτυο, στους πελάτες της περιλαμβάνονται και τα πέντε Σώματα του Αμερικανικού στρατού, περισσότερες από 425 από τις 500 μεγαλύτερες επιχειρήσεις των ΗΠΑ και το Γραφείο του Προέδρου των Ηνωμένων Πολιτειών.
Μέσα στη λίστα βρίσκεται και η Dominion Voting Systems, η οποία παρέχει εξοπλισμό και λογισμικό ψηφοφορίας σε 28 πολιτείες. Ο Διευθύνων Σύμβουλος της Dominion δήλωσε στους νομοθέτες του Μίσιγκαν την Τρίτη ότι η εταιρεία δεν έχει χρησιμοποιήσει ποτέ το προϊόν SolarWinds Orion που δέχτηκε την επίθεση.
Τη Δευτέρα η Υπηρεσία Κυβερνοασφάλειας & Υποδομών του Υπουργείου Εσωτερικής Ασφάλειας (CISA) διέταξε όλες τις υπηρεσίες που είχαν κατεβάσει τις εν λόγω ενημερώσεις να αποσυνδέσουν τις επηρεαζόμενες συσκευές, λέγοντας ότι ήταν το μόνο γνωστό μέτρο προς το παρόν για να μετριάσουν την ζημιά.
Η SolarWinds δήλωσε στον ιστότοπό της ότι τα συστήματά της «δέχτηκαν μια πολύ καλά σχεδιασμένη, επίθεση στην αλυσίδα εφοδιασμού», προσθέτοντας, «Μας έχουν ενημερώσει ότι αυτή η επίθεση πραγματοποιήθηκε πιθανώς από ένα άλλο κράτος και προοριζόταν να είναι μια στενή, εξαιρετικά στοχευμένη και χειροκίνητη επίθεση, σε αντίθεση με μια ευρεία επίθεση σε όλο το σύστημα».
Στην κατάθεση της, η SolarWinds είπε ότι μια έρευνα αποκάλυψε στοιχεία ότι η αδυναμία αυτή του συστήματος εισήχθη στα προϊόντα της Orion και υπήρχε σε ενημερώσεις που κυκλοφόρησαν μεταξύ Μαρτίου και Ιουνίου.
Οι πελάτες κλήθηκαν να αναβαθμίσουν τα επηρεαζόμενα προϊόντα σε μια νέα έκδοση ή να βγάλουν την πλατφόρμα εκτός σύνδεσης.
Σύμφωνα με την εταιρεία κυβερνοασφάλειας FireEye, οι εισβολείς προσέβαλαν με trojan ιό την ενημέρωση του Orion ώστε να εξαπλωθεί το κακόβουλο λογισμικό.
Ο Zachary Stieber συνέβαλε σε αυτό το άρθρο.
Ακολουθήστε τον Ivan στο Twitter: @ivanpentchoukov
