– 作者:Avenger

SolarWinds 的几位现任、前任高管将公司密码安全的严重失误归咎于公司的实习生。据称 SolarWinds 此前设置的密码是 solarwinds123,并在 2019 年被独立安全研究员 Vinoth Kumar 发现并通知 SolarWinds 文件服务器存在对外暴露的问题。

SolarWinds 前首席执行官 Kevin Thompson 指出,由于实习生将密码发布到私人的 GitHub 上才引起了轩然大波。SolarWinds 现任首席执行官 Sudhakar Ramakrishna 也透露,自 2017 年开始该公司就使用该密码

图片[1]-– 作者:Avenger-安全小百科

最近,在众议院监督和国土安全委员会(House Oversight and Homeland Securities committees)举办的联合听证会上,许多美国议员都指出 SolarWinds 弱密码存在的问题。议员 Katie Porter 指出,就连她本人的密码都比 solarwinds123这个密码强度更高。

根据 CNN 的报道,微软总裁 Brad Smith 指出没有证据表明美国国防部受到了本次攻击的波及。同时,Brad Smith 批评亚马逊和 Google 没有公开披露对 SolarWinds 攻击所知道的信息

图片[2]-– 作者:Avenger-安全小百科

Brad Smith 表示,微软发布了 32 篇文章详细披露微软对 SolarWinds 攻击的观察。Google 仅仅有一篇,而亚马逊对此保持沉默。根据美国《政治新闻》周二的报道,Google 前一天向国会议员提供了一份清单。问题清单旨在检查微软产品(例如 Windows 10、Azure 和 Office 365)的安全性,想借此对微软施压

Brad Smith 在采访时表示:“从软件工程的角度来看,可以说这是世界上迄今为止最大、最复杂的攻击”。隐藏在 SolarWinds Orion 更新中的攻击,影响遍及 18000 个机构的网络。

SolarWinds 公司的代表在听证会上表示,密码问题在短短几天内就被修复了,但是仍然存在一些关键数据的泄露。但是,尚不清楚这些泄露的数据在多大程度上可以帮助外国黑客监控/入侵联邦机构/企业。

1614485837_603b194d35513710f1fbc.png!small?1614485839679

黑客显然在美国政府机构的计算机中潜伏了数月之久,黑客在期间查看了电子邮件。除了国家核安全局之外,司法部,商务部,财政部,能源部和 NIH 等政府部门均受到影响。尽管美国国土安全部花费了数十亿美元建造的名为“爱因斯坦”的态势感知系统,以检测对政府机构的网络攻击。但攻击者仍然从美国的匿名服务器发起了攻击,因为美国的法律禁止国家安全局监视美国的私人计算机网络。

美国国家安全局前副局长 Chris Inglis 认为:“在政府网络中发现全部黑客攻击,需要花费数年的时间。即使发现攻击,最安全的方法仍然是更换硬件、更换系统”。

参考来源

TechTimes

GIZChina

SecuritySifu

来源:freebuf.com 0000-00-00 00:00:00 by: Avenger

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论