Investigador de seguridad revela que el servidor de actualización de Solarwinds estaba ‘protegido’ con la contraseña ‘solarwinds123’
Como se señaló anteriormente, hasta 18.000 clientes del proveedor de infraestructura de red dominante a nivel mundial SolarWinds pueden haber sido comprometidos por piratas informáticos malintencionados. Los piratas informáticos, que se presume que operan en nombre del gobierno ruso, implementaron actualizaciones contaminadas (proporcionadas por SolarWinds) que les dieron puertas traseras para fisgonear en las comunicaciones internas y exfiltrar datos confidenciales.
El ataque fue tan extenso y potencialmente catastrófico, que el ala cibernética del DHS emitió una directiva de emergencia que decía que la única forma de mitigar el daño era instalar los dispositivos de espacio de aire y desinstalar el software Orion afectado. Mientras tanto, SolarWinds presentó una actualización a la SEC que detalla el alcance del daño. Era limitado, pero solo si se considera “limitado” entre 18 y 33 000 posibles infecciones. Es solo un pequeño porcentaje porque la base de clientes de Solarwinds es muy grande. La compañía cuenta con 300.000 clientes, entre ellos varias agencias gubernamentales y las cinco ramas del ejército. (No se jacta mucho estos días. Ha guardado su página “Cliente” durante este tiempo de prueba).
Desafortunadamente, la directiva de CISA se entregó un poco tarde. El propio CISA se vio comprometido por el hack, algo reconocido por el DHS menos de 24 horas después de que se emitiera su directriz terrible.
Las consecuencias de esta piratería, que puede haber comenzado ya en marzo de este año, continuarán durante mucho, mucho tiempo. Pero esta última noticia, entregada por Zack Whittaker, agrega otra capa de ironía a la debacle en curso. Orion es la ventanilla única de Solarwinds para software de TI. Promete proteger la infraestructura de TI de los clientes al incluir los productos de seguridad de red de la empresa.
Sin duda, la empresa afirma que se toma en serio la seguridad. Pero mientras los usuarios están sujetos a requisitos de contraseña que les exigen utilizar la mayor parte del alfabeto y presionar varias teclas de mayúsculas, la seguridad interna no es tan restrictiva. Aquí está la noticia de “Dios mío, ¿estás bromeando?” A través de Reuters, que fue la primera en dar la noticia del pirateo malicioso.
El investigador de seguridad Vinoth Kumar dijo a Reuters que, el año pasado, alertó a la empresa de que cualquiera podía acceder al servidor de actualizaciones de SolarWinds utilizando la contraseña “solarwinds123”.
Las cinco ramas del ejército. La NSA. El IRS. El USPS. DHS. Departamento del Tesoro. Casi todas las empresas de Fortune 500. Las diez principales empresas de telecomunicaciones. La lista sigue y sigue. Y con este acceso, los atacantes podrían moverse lateralmente, utilizando credenciales comprometidas para espiar a las mutuas de las entidades objetivo. Y todo esto “asegurado” por una contraseña tan simple que un idiota podría haberlo creado.
Estámos jodidos. Y estamos jodidos por personas que ganan mucho más dinero que nosotros y que se toman nuestra seguridad mucho menos en serio que nosotros. Diga lo que quiera sobre la ambivalencia de seguridad del público en general, pero son los “expertos” los que nos ponen en peligro con medidas de seguridad laxas los que causan el mayor daño. Si Joe Blow no logra proteger su cuenta de correo electrónico, probablemente solo se hará daño a sí mismo. Cuando un proveedor multinacional no puede molestarse en obtener una contraseña decente, agencias gubernamentales enteras se convierten en un juguete para piratas informáticos maliciosos.
