– 作者:Avenger

SolarWinds 的几位现任、前任高管将公司密码安全的严重失误归咎于公司的实习生。据称 SolarWinds 此前设置的密码是 solarwinds123，并在 2019 年被独立安全研究员 Vinoth Kumar 发现并通知 SolarWinds 文件服务器存在对外暴露的问题。

SolarWinds 前首席执行官 Kevin Thompson 指出，由于实习生将密码发布到私人的 GitHub 上才引起了轩然大波。SolarWinds 现任首席执行官 Sudhakar Ramakrishna 也透露，自 2017 年开始该公司就使用该密码。

最近，在众议院监督和国土安全委员会（House Oversight and Homeland Securities committees）举办的联合听证会上，许多美国议员都指出 SolarWinds 弱密码存在的问题。议员 Katie Porter 指出，就连她本人的密码都比 solarwinds123这个密码强度更高。

根据 CNN 的报道，微软总裁 Brad Smith 指出没有证据表明美国国防部受到了本次攻击的波及。同时，Brad Smith 批评亚马逊和 Google 没有公开披露对 SolarWinds 攻击所知道的信息。

Brad Smith 表示，微软发布了 32 篇文章详细披露微软对 SolarWinds 攻击的观察。Google 仅仅有一篇，而亚马逊对此保持沉默。根据美国《政治新闻》周二的报道，Google 前一天向国会议员提供了一份清单。问题清单旨在检查微软产品（例如 Windows 10、Azure 和 Office 365）的安全性，想借此对微软施压。

Brad Smith 在采访时表示：“从软件工程的角度来看，可以说这是世界上迄今为止最大、最复杂的攻击”。隐藏在 SolarWinds Orion 更新中的攻击，影响遍及 18000 个机构的网络。

SolarWinds 公司的代表在听证会上表示，密码问题在短短几天内就被修复了，但是仍然存在一些关键数据的泄露。但是，尚不清楚这些泄露的数据在多大程度上可以帮助外国黑客监控/入侵联邦机构/企业。

黑客显然在美国政府机构的计算机中潜伏了数月之久，黑客在期间查看了电子邮件。除了国家核安全局之外，司法部，商务部，财政部，能源部和 NIH 等政府部门均受到影响。尽管美国国土安全部花费了数十亿美元建造的名为“爱因斯坦”的态势感知系统，以检测对政府机构的网络攻击。但攻击者仍然从美国的匿名服务器发起了攻击，因为美国的法律禁止国家安全局监视美国的私人计算机网络。

美国国家安全局前副局长 Chris Inglis 认为：“在政府网络中发现全部黑客攻击，需要花费数年的时间。即使发现攻击，最安全的方法仍然是更换硬件、更换系统”。

参考来源

TechTimes

GIZChina

SecuritySifu

来源：freebuf.com 0000-00-00 00:00:00 by: Avenger