Η στάση της Acunetix μετά την επίθεση στη SolarWinds

Σε ανακοίνωση προχώρησαν οι Acunetix και Invicti, μετά το «χτύπημα hacking» στη SolarWinds που επηρέασε τουλάχιστον 18.000 οργανισμούς μερικές ημέρες πριν τα Χριστούγεννα.

Πιο συγκεκριμένα, στις 13 Δεκεμβρίου του 2020, η SolarWinds ενημέρωσε τους περίπου 33.000 ενεργούς πελάτες των προϊόντων Orion για το παραβιασμένο-trojanized λογισμικό, παρέχοντας μία ενημέρωση-διόρθωση (hotfix update) και παροτρύνοντας τους οργανισμούς/ εταιρείες να λάβουν συγκεκριμένα μέτρα ώστε να διατηρήσουν ασφαλή τα περιβάλλοντα τους. Αν και η εταιρεία επικοινώνησε με περίπου 33.000 οργανισμούς, εκείνοι που χρησιμοποιούσαν -σύμφωνα με τη SolarWinds- το λογισμικό με τη συγκεκριμένη ευπάθεια-backdoor ήταν λιγότεροι από 18.000.

Η ευπάθεια (λέγεται, όπως είχε συμβεί και στην περίπτωση της FireEye, ότι χρησιμοποιήθηκαν «trojanized» ενημερώσεις για το λογισμικό Orion που διανείμαν κάποιο backdoor) θα μπορούσε να επιτρέψει σε έναν επιτιθέμενο να παραβιάσει και να καταλάβει τον διακομιστή στον οποίον «τρέχουν» τα προϊόντα παρακολούθησης και διαχείρισης δικτύου Orion. Η SolarWinds, μεταξύ άλλων, παρέχει τα προϊόντα της σε διάφορες Αμερικάνικες κυβερνητικές και στρατιωτικές υπηρεσίες καθώς και σε γραφεία πληροφοριών. Μετά τα γεγονότα, και την ώρα που πραγματοποιείται σχετική έρευνα για να εντοπιστούν οι κυβερνοεγκληματίες, πολλές εταιρείες εξέδωσαν σχετικές ανακοινώσεις, καθώς η συγκεκριμένη παραβίαση θεωρείται από τις σοβαρότερες των τελευταίων ετών (οι επιτιθέμενοι μπορούσαν να κατασκοπεύουν εσωτερικά μηνύματα ηλεκτρονικού ταχυδρομείου κ.ά.).

Όπως ήταν φυσικό, σχετική ανακοίνωση εξέδωσαν και οι Acunetix και Invicti. Στην ανακοίνωση τους, διαβάζουμε:

«Εμείς στις Acunetix και Invicti, είμαστε ιδιαίτερα θορυβημένοι με τα επακόλουθα της παραβίασης της SolarWinds και θα θέλαμε να προσφέρουμε τη συμπαράσταση μας σε όλο το προσωπικό ασφαλείας που αναγκάζεται να αντιμετωπίσει μία τέτοια κατάσταση λίγο πριν από τα Χριστούγεννα καθώς και στην ίδια την SolarWinds, η οποία άθελα της αποτέλεσε τον φορέα για την παραβίαση 18.000 οργανισμών.

Ταυτόχρονα, θα θέλαμε να διαβεβαιώσουμε τους πελάτες, τους συνεργάτες και τους εταίρους μας ότι δεν είμαστε πελάτες της SolarWinds και επομένως δεν επηρεαζόμαστε με κανέναν τρόπο από αυτή την παραβίαση-hack. Όπως πάντα, εξακολουθούμε να καταβάλλουμε κάθε δυνατή προσπάθεια για να διασφαλίσουμε ότι οι online και on-premises εκδόσεις του λογισμικού μας καθώς και οι διακομιστές λήψης ενημερώσεων είναι απολύτως ασφαλείς.

Τι συνέβη στη SolarWinds;

Αν δεν έχετε ενημερωθεί σχετικά: Το λογισμικό παρακολούθησης και διαχείρισης δικτύου SolarWinds Orion, που χρησιμοποιείται από περισσότερους από 18.000 οργανισμούς σε όλο τον κόσμο φαίνεται πως είχε «παραβιαστεί» πριν από αρκετούς μήνες. Μια ενημέρωση, με δυνατότητα λήψης από τον διακομιστή λήψης ενημερώσεων της SolarWinds, φαίνεται να είχε «δηλητηριαστεί» με κάποιο κακόβουλο backdoor. Η «κερκόπορτα» επέτρεψε σε άγνωστους παράγοντες να κατασκοπεύουν τους πελάτες της SolarWinds που χρησιμοποιούσαν το λογισμικό Orion και ενδεχομένως να ελέγχουν τα συστήματά τους από απόσταση ή να παρακολουθούν τα δίκτυα τους.

Αν και ο αρχικός φορέας παραμένει άγνωστος, υπάρχουν ορισμένα ίχνη ή στοιχεία που θα μπορούσαν να μας δώσουν μία ιδέα για το πως ξεκίνησαν όλα. Από ότι φαίνεται, τα πρώτα ίχνη χρήσης του backdoor χρονολογούνται από τον Μάρτιο του 2020, και επομένως είναι πολύ πιθανό η SolarWinds να είχε παραβιαστεί από τις αρχές του 2020 ή από τα τέλη του 2019. Το παραπάνω συνάδει με ορισμένα Tweets που υποδηλώνουν ότι η SolarWinds είχε ένα ανοιχτό αποθετήριο στο GitHub και χρησιμοποιούσε αδύναμους κωδικούς πρόσβασης. Επομένως, δεν αποτελεί έκπληξη. Τα ελευθέρως προσβάσιμα αποθετήρια και οι εκτεθειμένες βάσεις δεδομένων έχουν οδηγήσει σε μερικές από τις μεγαλύτερες παραβιάσεις των τελευταίων ετών και οι κοινότυπες ευπάθειες κωδικών πρόσβασης αποτελούν συχνά την αιτία για μεγάλες παραβιάσεις.

Ένας άλλος πιθανός φορέας είναι ο λογαριασμός SolarWinds Office 365. Σύμφωνα με πληροφορίες που έλαβε η SolarWinds από τη Microsoft, ο παραπάνω λογαριασμός ενδέχεται να παραβιάστηκε. Η SolarWinds πιστεύει ότι δεδομένα που βρίσκονταν σε μηνύματα ηλεκτρονικού ταχυδρομείου ενδέχεται να έδωσαν τη δυνατότητα στους εισβολείς να αποκτήσουν πρόσβαση σε άλλα συστήματα (αυτό υποδηλώνει επιπλέον κακή κουλτούρα ηλεκτρονικού ταχυδρομείου, καθώς το email δεν πρέπει να χρησιμοποιείται για την αποστολή ευαίσθητων δεδομένων). Το παραπάνω επιπλέον ενδέχεται να υποδηλώνει ότι μίας αδύναμη πολιτική όσον αφορά στους κωδικούς πρόσβασης ήταν η βασική αιτία της παραβίασης. Λάβετε υπόψη σας, ότι αρκεί ένας χρήστης με αδύναμο κωδικό πρόσβασης για την εισβολή ενός κακόβουλου χάκερ.

Συμπεράσματα από το hack στη SolarWinds

Αν και το ίδιο το «hack» ή αν θέλετε, η παραβίαση, είναι κάτι συνηθισμένο, αυτό που είναι εξαιρετικά ασυνήθιστο στη συγκεκριμένη περίπτωση είναι το μεγάλο χρονικό διάστημα που είχε παραμείνει ανεξερεύνητο και απαρατήρητο. Επομένως, αν και η ευπάθεια ήταν μικρή και ασήμαντη, η διάρκεια της επίθεσης ή της εκμετάλλευσης ήταν το αντίθετο. Οι επιτιθέμενοι, όποιοι και αν ήταν, πρόσεξαν ιδιαίτερα ώστε να μην γίνουν αντιληπτοί σε όλα τα δίκτυα που παρεισφρήσαν. Ακριβώς για αυτό τον λόγο δεν είναι λίγοι εκείνοι που πιστεύουν ότι ήταν μία μεγάλη επιχείρηση αντικατασκοπείας.

Αυτό οδηγεί στο συμπέρασμα ότι όσο και αν θεωρείτε μια ευπάθεια ή ένα περιουσιακό στοιχείο μικρό, μπορεί να χρησιμοποιηθεί από τον εισβολέα για να εισέλθει βαθύτερα στα συστήματά σας – για παράδειγμα, ένα απλό SQL injection σε μια βάση δεδομένων που δεν περιέχει προσωπικά δεδομένα μπορεί να οδηγεί στην ολοκληρωτική παραβίαση του δικτύου ή του συστήματος σας. Στη συνέχεια, ο εισβολέας μπορεί να χρησιμοποιήσει τα παραβιασμένα συστήματά σας για να εκτελέσει μια επίθεση σε άλλους – και μια τέτοια επίθεση ενδέχεται να είναι ακόμη πιο δύσκολο να εντοπιστεί, όπως συνέβη και στην περίπτωση της SolarWinds.

Αν το SolarWinds Orion ήταν προϊόν cloud, δεν θα ήταν δυνατό να πραγματοποιηθεί μία τέτοια παραβίαση ή hack αφού οι λήψεις ενημερώσεων λογισμικού δεν θα ήταν απαραίτητες. Ένα ακόμη συμπέρασμα από την παραβίαση είναι ότι ένα προϊόν σαν το Orion δεν θα ήταν απαραίτητο σε οργανισμούς χωρίς εσωτερικά δίκτυα (αν για παράδειγμα είχαν όλες τις εφαρμογές τους στο cloud) και επομένως ένα hack σαν αυτό στη SolarWinds δεν θα ήταν δυνατό να γίνει. Τα παραπάνω, είναι ακόμη μερικά κίνητρα για τους οργανισμούς για να μεταφέρουν τα δεδομένα και τα περιουσιακά στοιχεία τους στο cloud. Ωστόσο, δεν πρέπει να ξεχνάμε ότι το σύννεφο έχει και αυτό τους κινδύνους του και τα ζητήματα ασφαλείας του. Ένα από αυτά τα ζητήματα ασφάλειας είναι ότι όλες οι εφαρμογές cloud είναι εφαρμογές Ιστού.

Πως μπορεί να βοηθήσει η Acunetix;

Δεδομένου ότι το Acunetix εξειδικεύεται στην ασφάλεια εφαρμογών ιστού, δεν μπορεί να βοηθήσει τους οργανισμούς να προστατεύσουν εφαρμογές παλαιού τύπου και εσωτερικά δίκτυα σαν εκείνα που παραβιάστηκαν μέσω της «κερκόπορτας» στο SolarWinds Orion. Παρόλα αυτά, το Acunetix είναι ένα απολύτως απαραίτητο εργαλείο για τη μεταφορά αυτών των εφαρμογών στο cloud – επιπλέον γίνεται έλεγχος για εκτεθειμένες βάσεις δεδομένων και αδύναμους κωδικούς πρόσβασης. Για να διατηρήσετε όλα τα web assets σας ασφαλή, δεν υπάρχει κάτι καλύτερο από το να ξεκινήσετε με έναν σαρωτή ευπαθειών Ιστού».

22 Δεκεμβρίου, 2020