Cybernews研究团队透露,美国政府和国防承包商Belcan向公众开放了其超级管理员凭据。5月15日,Cybernews研究团队发现了一个开放的Kibana实例,其中包含有关Belcan、其员工和内部基础设施的敏感信息。Kibana是数据搜索和分析引擎ElasticSearch的可视化仪表板。这些系统帮助企业处理大量数据。
Belcan成立于 1958年,是一家政府、国防和航空航天承包商,提供全球设计、软件、制造、供应链、信息技术和数字工程解决方案。现已成为全球技术领导者。如今,Belcan 拥有超过10,000名专业人员,为全球 60 多个地点的数百名客户提供服务。该公司预计2022年收入为9.5亿美元,是40多个美国联邦机构值得信赖的战略合作伙伴。
泄露的信息凸显了Belcan通过实施渗透测试和审计对信息安全的承诺,但攻击者可以利用开放测试结果以及使用 bcrypt散列的管理员凭据的漏洞。
开放的Kibana实例中泄露的Belcan数据包含以下内容:
管理员电子邮件
管理员口令(使用bcrypt进行哈希处理)
管理员用户名
管理员角色(他们被分配到哪些组织)
内部网络地址
内部基础设施主机名和IP地址
内部基础设施漏洞以及为补救/不补救而采取的行动。
Bcrypt是一种安全的散列算法,增加了一层安全防护以防止攻击者。然而,哈希值仍然可以被破解,并且其他身份验证数据可能被用于鱼叉式网络钓鱼攻击。
在这种情况下,攻击者可能需要长达22年的时间才能破解非常强的管理员口令。如果口令较弱且容易受到词汇攻击,则可能在短短几天内被破解。
攻击者还可以检查该公司修复已发现漏洞的进度,数据表明并非所有漏洞都已得到解决。
Cybernews研究团队写道:“这些信息可以帮助攻击者识别尚未修补的易受攻击的系统,并为他们提供具有特权访问权限的帐户凭据,从而使针对组织的潜在攻击变得更加容易和更快。”
最重大的风险是由间谍活动、影响力或代理人战争等政治和军事目标驱动的国家资助的高级持续威胁(APT)。
Cybernews向Belcan通报了发现的漏洞,在本文发布之前,该公司已实施保障措施来解决该问题。在发表本文之前,贝尔坎没有对调查结果发表任何额外评论。
Belcan的泄密事件给更广泛的组织圈子带来了重大风险。
访问开放凭证和其他信息将极大地促进对组织的破坏,因为攻击者可以绕过身份验证机制。
然后,威胁行为者可以访问敏感的客户信息,包括航空航天、国防公司和政府机构。
Cybernews研究人员写道:“此类攻击通常由APT组织在情报收集活动中实施,目的是窃取专有信息,从而复制先进产品的设计和程序,并获取经济利益。”
此类信息对于攻击者来说尤其有价值,因为它可以用于技术间谍活动、获取秘密军事信息,甚至允许破坏政府机构。
最敏感的Belcan客户居住在美国,因此,一次成功的攻击将特别引起美国公民的关注。
此次泄露似乎源自Belcan使用的安全工具。这表明保持这些工具安全的重要性,因为它们通常拥有访问威胁行为者可以利用的敏感信息的特权。这包括公司的基础设施、其中存储的数据、内部网络子网、端点。
“数据表明,泄漏的来源很可能是Belcan用于扫描和跟踪其基础设施漏洞的安全工具。应不惜一切代价保护对此类工具的访问,”网络新闻研究人员警告说。
他们还注意到泄露数据中的条目表明该公司检测到了一些漏洞但没有修补。
参考资源
1、https://cybernews.com/security/belcan-leaks-admin-password-flaws/
2、https://www.belcan.com/resources/overviews/
声明:本文来自网空闲话plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
