Soluciones Integrales de Seguridad

Si todavía no eres cliente y necesitas información sobre nuestros servicios profesionales, consultoría y soluciones de seguridad, asistencia técnica, información sobre partners o cualquier otra duda, ponte en contacto con nosotros.

Si se trata de un Incidente de Seguridad,
te recomendamos que lo hagas vía telefónica

Share on whatsapp
WhatsApp
Share on facebook
Facebook
Share on email
Email
¿El ataque a SolarWinds fue culpa de un becario?

A medida que los investigadores de ciberseguridad continúan reconstruyendo el extenso ataque a la cadena de suministro de SolarWinds, los altos ejecutivos de la firma de servicios de software con sede en Texas culparon a un becario por un error crítico de contraseña que pasó desapercibido durante varios años.

Originalmente se creía que dicha contraseña “solarwinds123” era de acceso público a través de un repositorio de GitHub desde el 17 de junio de 2018, antes de que se solucionara la configuración incorrecta el 22 de noviembre de 2019.

Pero en una audiencia ante los Comités de Supervisión y Reforma y Seguridad Nacional de la Cámara de Representantes en SolarWinds el viernes, el director ejecutivo Sudhakar Ramakrishna testificó que la contraseña había estado en uso ya en 2017.

Si bien una investigación preliminar sobre el ataque reveló que los operadores detrás de la campaña de espionaje lograron comprometer la construcción de software y la infraestructura de firma de código de la plataforma SolarWinds Orion ya en octubre de 2019 para entregar la puerta trasera Sunburst, los esfuerzos de respuesta a incidentes de Crowdstrike apuntaron a una línea de tiempo revisada que estableció la primera violación de la red SolarWinds el 4 de septiembre de 2019.

Hasta la fecha, al menos 9 agencias gubernamentales y 100 empresas del sector privado han sido vulneradas en lo que se describe como una de las operaciones más sofisticadas y mejor planificadas que involucró la plataforma de software Orion con el objetivo de comprometer a sus clientes.

La importancia de la Política de Contraseñas y su cumplimiento

El ex director ejecutivo Kevin Thompson se hizo eco de la declaración de Ramakrishna durante el testimonio. “Eso se relacionó con un error que cometió un becario, e incumplió nuestras políticas de contraseñas y publicaron esa contraseña en su propia cuenta privada de GitHub. Tan pronto como fue identificado y puesto en conocimiento de mi equipo de seguridad, lo retiraron”.

El investigador de seguridad Vinoth Kumar reveló en diciembre que notificó a la compañía sobre un repositorio de GitHub de acceso público que estaba filtrando las credenciales FTP del sitio web de descarga de la compañía, agregando que un delincuente informático podría usar las credenciales para cargar un ejecutable malicioso y agregarlo a una Actualización de SolarWinds.

Posteriormente, SolarWinds recibió una demanda colectiva en enero de 2021 en la que alegaban que la compañía no reveló que “desde mediados de 2020, los productos de monitorización de SolarWinds Orion tenían una vulnerabilidad que permitía a los delincuentes informáticos comprometer el servidor en el que el los productos se ejecutaron, y que el servidor de actualización de SolarWinds tenía una contraseña de fácil acceso de ‘solarwinds123‘, como resultado de lo cual la empresa sufriría un daño significativo en la reputación”. Se cree que hasta 18.000 clientes de SolarWinds han recibido la actualización de Orion troyanizada, aunque el actor de amenazas detrás de la operación eligió cuidadosamente sus objetivos, optando por escalar los ataques solo en un puñado de casos mediante la implementación del malware Teardrop basado en la información acumulada durante un reconocimiento inicial. del entorno objetivo para cuentas y activos de alto valor.

Además de infiltrarse en las redes de Microsoft, FireEye, Malwarebytes, CrowdStrike y Mimecast, se dice que los atacantes también utilizaron SolarWinds como punto de partida para entrar en la Administración Nacional de Aeronáutica y del Espacio (NSA) y la Administración Federal de Aviación (FAA). , según el Washington Post.

Las otras siete agencias violadas son los Departamentos de Estado, Justicia, Comercio, Seguridad Nacional, Energía, Tesoro y los Institutos Nacionales de Salud.

“Además de esta estimación, hemos identificado más víctimas del gobierno y del sector privado en otros países, y creemos que es muy probable que queden otras víctimas aún no identificadas, quizás especialmente en regiones donde la migración a la nube no está tan avanzada como parece”, dijo el presidente de Microsoft, Brad Smith, durante la audiencia.

El grupo de amenazas, supuestamente de origen ruso, está siendo rastreado bajo diferentes apodos, incluidos UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike) y Dark Halo (Volexity).

“Los atacantes lanzaron el ataque desde el interior de Estados Unidos, lo que dificultó aún más que el gobierno de Estados Unidos observara su actividad”dijo la asesora adjunta de Seguridad Nacional Anne Neuberger en una sesión informativa en la Casa Blanca el mes pasado. “Este es un actor sofisticado que hizo todo lo posible para ocultar sus huellas. Creemos que les tomó meses planificar y ejecutar este compromiso”.

SolarWinds, por su parte, dijo que está implementando el conocimiento obtenido del incidente para evolucionar hacia una empresa “segura por diseño” y que está implementando protección adicional contra amenazas y software de búsqueda de amenazas en todos sus terminales de red, incluidas medidas para salvaguardar sus entornos de desarrollo.

Comparte este artículo para mejorar la calidad del blog…

Share on whatsapp
WhatsApp
Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on telegram
Telegram
Share on email
Email

Continúa leyendo…

Contenido patrocinado…

Data Center Virtual
Servidores Tier IV situados en España

Completo Data Center Virtual, fácil e intuitivo desde el primer día, sin formación, potente red SDN, almacenamiento a medida, backups y snapshots, monitorización avanzada y mucho más...

AFS Informática como
Marca Blanca

Ofrece y externaliza nuestros servicios de Seguridad. Nunca contactaremos con tus clientes. Especial para gestorías, asesorías, bufetes de abogados, comerciales independientes, grandes empresas, etc...

AFS Informática - Ejercicios de Red Team

¿Has sido o estás siendo víctima de una estafa o ataque informático?

Solicita un

Perito Informático

  • Responsable de los datos: Diego Ariza Cívico (AFS Informática)
  • Finalidad de los datos: El desarrollo de actividades y prestación de información sobre servicios y productos de Diego Ariza Cívico (AFS Informática)
  • Legitimación: Tu consentimiento
  • Almacenamiento de los datos: Base de datos alojada en SiteGround Spain S.L. (UE)
  • Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal
  • Derechos: En cualquir momento puedes acceder, limitar, recuperar y borrar tu información
  • Contacto RGPD: [email protected]

Solicita una reunión gratuita con un experto

¿Has encontrado lo que buscabas?

Si no lo has encontrado, solicita GRATIS una reunión con un asesor