Cyber News 研究小组披露,美国政府和国防承包商 Belcan 向公众公开了其超级管理员凭据,这一“失误”可能会引起严重的供应链攻击。
Belcan 作为一家政府、国防和航空航天承包商,主要为客户提供设计、软件、制造、供应链、信息技术和数字工程解决方案。据悉,该公司 2022 年的收入达到 9.5 亿美元,是 40 多个美国联邦机构值得信赖的战略合作伙伴。
5 月 15 日,Cybernews 研究团队发现一个开放的 Kibana 实例,其中包含部分 Belcan 公司员工和内部基础设施的敏感信息。(Kibana 是数据搜索和分析引擎 ElasticSearch 的可视化仪表板,这些系统能够帮助企业处理大量数据。)
值得注意的是,虽然泄露的信息凸显了 Belcan 公司通过实施渗透测试和审计对信息安全的承诺,但攻击者可能会利用这一漏洞,公开测试结果以及用 bcrypt 加密的管理凭据。
开放 Kibana 实例中泄露的 Belcan 数据包含以下内容:
- 管理员电子邮件;
- 管理员密码(使用 bcrypt 散列,成本设置为 12);
- 管理员用户名;
- 管理员角色(分配给哪些组织);
- 内部网络地址;
- 内部基础设施主机名和 IP 地址;
- 内部基础架构漏洞以及采取的补救/不补救措施。
Bcrypt 是一种常见的安全哈希算法,为防范攻击者增加了一层安全保护,但其哈希值仍有可能被破解,其它身份验证数据也可能被用于鱼叉式网络钓鱼攻击。在这种情况下,攻击者可能需要长达 22 年的时间才能破解一个非常强大的管理员密码,但如果密码较弱的话,容易受到字典攻击,攻击者可能在几天内就会破解密码。
此外,Cybernews 研究小组指出数据表明并非所有漏洞都得到了修补,攻击者可以通过检查 Belcan 公司修复漏洞的进展,识别出尚未打补丁的脆弱系统,并为其提供具有特权访问权限的账户凭证,从而使针对组织的潜在攻击变得更加容易和快速。这样带来的最大风险是由间谍活动、影响力或代理人战争等政治和军事目标驱动的高级持续威胁 (APT)。
Cybernews 向 Belcan 公司通报了发现的安全漏洞,在文章发布之前,该公司已采取保障措施解决了这一问题。
文章来源:https://securityaffairs.com/149779/data-breach/belcan-leaks-admin-password.html
