En Acunetix e Invicti estamos profundamente preocupados por las secuelas del hack de SolarWinds y ofrecemos nuestro más sentido pésame a todo el personal de seguridad que se enfrenta a esta situación justo antes de Navidad, y a los propios SolarWinds, que han sido un agente reacio al compromiso de más de 18.000 organizaciones.
Al mismo tiempo, nos gustaría asegurar a nuestros clientes, socios y prospectos que no somos clientes de SolarWinds y, por lo tanto, no nos afecta de ninguna manera este truco. Como siempre, seguimos poniendo el máximo cuidado para garantizar que nuestro software local y en línea y nuestros servidores de descarga de actualizaciones no se vean comprometidos de ninguna manera.
¿Qué sucedió en SolarWinds?
Si no está actualizado con las noticias : El software de monitoreo de red SolarWinds Orion, utilizado por más de 18,000 organizaciones en todo el mundo, se vio comprometido hace varios meses. Una actualización, descargable desde el servidor de actualizaciones de SolarWinds, fue envenenada con una puerta trasera maliciosa. Esta puerta trasera permitió a los actores de amenazas desconocidos espiar a los clientes de SolarWinds Orion y potencialmente controlar sus sistemas de forma remota o escalar a sus redes.
El vector de ataque original sigue siendo desconocido, pero hay indicios que podrían darnos una pista de lo que sucedió originalmente. Dado que los primeros rastros del uso de la puerta trasera se remontan a marzo de 2020, es muy probable que SolarWinds haya sido pirateado a principios de 2020 o finales de 2019. Esto está en línea con ciertos Tweets que sugieren que SolarWinds tenía un repositorio abierto en GitHub y utilizó contraseñas débiles. Esto no sorprendería en absoluto. Los repositorios de acceso abierto y las bases de datos expuestas representan algunos de los mayores hackeos de los últimos años y las vulnerabilidades comunes de las contraseñas suelen ser la causa subyacente de los robos importantes.
Otro vector potencial es que la cuenta SolarWinds Office 365 supuestamente estaba comprometida, según la información que SolarWinds recibió de Microsoft. SolarWinds cree que los datos contenidos en los correos electrónicos podrían haber permitido a los atacantes obtener acceso a otros sistemas (lo que también sugiere una cultura de correo electrónico deficiente; no debe usar el correo electrónico para enviar datos confidenciales). Una vez más, esto sugiere que podría haber sido una política de contraseña débil la causa subyacente de la violación. Recuerde, solo se necesita un usuario con una contraseña débil para que ingrese un hacker malicioso.
Conclusiones del hack de SolarWinds
Si bien el truco en sí probablemente no es nada fuera de lo común, lo que es muy fuera de lo común en esta situación es el hecho de cuánto tiempo ha permanecido sin descubrir. Esto es lo que sugiere que si bien la vulnerabilidad pudo haber sido trivial, la explotación en sí no lo fue. Los atacantes, sean quienes sean en realidad, se cuidaron mucho de no ser detectados en todas las redes infiltradas. Por eso se cree que debió ser una gran operación de inteligencia.
Esto lleva a la conclusión de que incluso si considera una vulnerabilidad o un activo solo menor, el atacante puede usarlo para escalar más profundamente en sus sistemas; por ejemplo, una simple inyección de SQL en una base de datos que no contiene datos personales puede conducir a un compromiso completo del sistema . Lo que es aún peor, el atacante puede usar sus sistemas comprometidos para atacar a otros, un ataque que puede ser aún más difícil de detectar, como en el caso de SolarWinds.
Otra conclusión importante de este truco es que si SolarWinds Orion fuera un producto en la nube, el truco no sería posible porque no habría actualizaciones descargables. Si las organizaciones no tuvieran redes internas (si tuvieran todas sus aplicaciones en la nube) y nunca necesitaron Orion en primer lugar, tampoco sucedería. Este puede ser otro empujón para que las organizaciones muevan sus activos a la nube. Sin embargo, no deben olvidar que la nube también tiene sus preocupaciones de seguridad. Y una de estas preocupaciones de seguridad es el hecho de que todas las aplicaciones en la nube son aplicaciones web.
¿Cómo puede ayudar Acunetix?
Dado que nos ocupamos de la seguridad de las aplicaciones web, Acunetix no puede ayudar a las organizaciones a proteger sus aplicaciones heredadas y sus redes internas, como las que han sido infiltradas por la puerta trasera de SolarWinds Orion. Sin embargo, Acunetix es una herramienta indispensable para cuando mueve esas aplicaciones a la nube; también verificamos bases de datos expuestas y contraseñas débiles. Para mantener seguros todos sus activos web, su mejor opción es comenzar con un escáner de vulnerabilidades web.
