??美国政府和国防承包商Belcan将其超级管理员证书向公众开放,一个失误就导致严重的供应链攻击。Belcan是一家政府、国防和航空航天网络承包商,提供全球设计、软件、制造、供应链、信息技术和数字工程解决方案。据报道,该公司在2022年的收入为9.5亿美元,是40多个美国联邦机构信赖的战略合作伙伴。
5月15日,Cybernews研究小组发现了一个开放的Kibana实例,其中包含有关Belcan员工和其内部基础设施的敏感信息。Kibana是数据搜索和分析引擎ElasticSearch的可视化仪表板。这些系统帮助企业处理大量的数据。 虽然泄露的信息突显了Belcan通过实施渗透测试和审计来保证信息安全的承诺,但攻击者可能会利用开放的测试结果的漏洞,以及用bcrypt散列的管理凭据。在开放的Kibana实例中泄露的Belcan数据包含以下内容:管理员电子邮件、管理员密码、(使用bcrypt散列,成本设置为12)管理员用户名、管理角色、内部网络地址、内部基础设施主机名和IP地址、内部基础设施漏洞和采取的补救/不补救措施。
Bcrypt是一种安全的散列算法,它增加了一层防范攻击者的安全防护。但是,哈希仍然可以被破解,并且其他身份验证数据可能被用于鱼叉式网络钓鱼攻击。在这种情况下,攻击者可能需要长达22年的时间才能破解一个非常强大的管理密码。如果密码较弱,容易受到词汇攻击,则可能在几天内被破解。攻击者还可以查看该公司修复已发现漏洞的进度。数据显示,并不是所有漏洞都得到了解决。
Cybernews研究团队写道:“这些信息可以帮助攻击者识别未打补丁的易受攻击的系统,并为他们提供具有特权访问权限的帐户凭证,从而使针对组织的潜在攻击变得更加容易和快速。”最重要的风险是由间谍、影响或代理战争等政治和军事目标驱动的国家支持的高级持续威胁(APT)。Cybernews向Belcan通报了发现的漏洞,在漏洞发布之前,该公司已经实施了安全措施来解决这个问题。
因为敏感信息泄露导致整个供应链都面临风险,同时Belcan的泄密给更广泛的组织带来了重大风险。攻击者可以绕过身份验证机制,访问开放的凭据和其他信息,从而极大地促进组织的破坏。然后,黑客可以访问敏感的客户信息,包括航空航天、国防公司和政府机构信息。这种攻击通常是APT组织在情报收集行动中实施的,目的是窃取专有信息,以使他们能够复制先进产品的设计和程序、获取经济利益等。
这些信息对于攻击者来说特别有价值,因为它可以用于技术间谍活动、获取秘密军事信息,甚至可以破坏政府机构。泄露似乎源自Belcan使用的安全工具。这表明保持这些工具安全的重要性,因为它们通常具有访问敏感信息的特权,攻击者可以利用这些信息。这包括公司的基础设施、存储在其中的数据、内部网络子网、端点。数据显示,泄露的源头很可能是Belcan用来扫描和跟踪其基础设施漏洞的安全工具。