O governo dos EUA e o fornecedor de defesa Belcan deixaram suas credenciais de superadministrador abertas ao público. Um lapso que poderia ter resultado em um sério ataque à cadeia de suprimentos, revela a equipe de pesquisa da Cybernews.
A Belcan é uma empreiteira governamental, de defesa e aeroespacial que oferece soluções globais de design, software, fabricação, cadeia de suprimentos, tecnologia da informação e engenharia digital. A empresa, com receita informada de US$ 950 milhões em 2022, é um parceiro estratégico confiável para mais de 40 agências federais dos EUA.
Em 15 de maio, a equipe de pesquisa da Cybernews descobriu uma instância aberta do Kibana contendo informações confidenciais sobre a Belcan, seus funcionários e infraestrutura interna. Kibana é um painel de visualização para o mecanismo de pesquisa e análise de dados ElasticSearch. Esses sistemas ajudam as empresas a lidar com grandes quantidades de dados.
Embora as informações vazadas destaquem o compromisso da Belcan com a segurança da informação por meio da implementação de testes de penetração e auditorias, os invasores poderiam explorar o lapso em deixar os resultados dos testes abertos, juntamente com as credenciais de administrador criptografadas com bcrypt.
Os dados vazados do Belcan na instância aberta do Kibana continham o seguinte:
E-mails do administrador
Senhas de administrador (com hash com bcrypt, configuração de custo 12)
Nomes de usuário do administrador
Funções administrativas (a que organizações estão atribuídas)
Endereços de rede interna
Nomes de host de infraestrutura interna e endereços IP
Vulnerabilidades de infraestrutura interna e ações tomadas para remediar/não remediar.
Bcrypt é um algoritmo de hash seguro que adiciona uma camada de proteção contra invasores. No entanto, os hashes ainda podem ser quebrados e outros dados de autenticação podem ser usados em ataques de spear phishing.
Nesse caso, os invasores podem levar até 22 anos para quebrar uma senha de administrador muito forte. Se a senha for mais fraca e suscetível a ataques de vocabulário, ela poderá ser quebrada em apenas alguns dias.
Os invasores também podem verificar o progresso da empresa na correção das vulnerabilidades encontradas, e os dados sugerem que nem todas foram resolvidas.
“Essas informações podem ajudar os invasores a identificar sistemas vulneráveis que não foram corrigidos, além de fornecer credenciais para contas com acesso privilegiado, tornando um possível ataque contra a organização significativamente mais fácil e rápido”, escreve a equipe de pesquisa da Cybernews.
O risco mais significativo são as ameaças persistentes avançadas (APT) patrocinadas pelo estado, impulsionadas por objetivos políticos e militares, como espionagem, influência ou guerra por procuração.
A Cybernews informou a Belcan sobre as vulnerabilidades descobertas e, antes desta publicação, a empresa havia implementado salvaguardas para resolver o problema. Belcan não enviou nenhum comentário adicional sobre as descobertas antes de publicar este artigo.
Toda a cadeia de suprimentos em risco
O vazamento de Belcan representou um risco significativo para um círculo mais amplo de organizações.
O acesso a credenciais abertas e outras informações teria facilitado muito a violação da organização, pois os invasores poderiam ignorar os mecanismos de autenticação.
Atores de ameaças podem acessar informações confidenciais de clientes, incluindo empresas aeroespaciais, de defesa e instituições governamentais.
“Tais ataques são frequentemente realizados por grupos APT em operações de coleta de inteligência, para roubar informações proprietárias, que lhes permitiriam copiar projetos e procedimentos para produtos avançados, bem como para ganhos financeiros”, escrevem os pesquisadores da Cybernews.
Essas informações são especialmente valiosas para os invasores, pois podem ser usadas para espionagem tecnológica, obtenção de informações militares secretas ou até mesmo para permitir a interrupção de agências governamentais.
Os clientes Belcan mais sensíveis residem nos EUA, portanto, um ataque bem-sucedido seria particularmente preocupante para os cidadãos americanos.
O vazamento parece ter origem em uma ferramenta de segurança usada pelo Belcan. Isso significa a importância de manter essas ferramentas seguras, pois elas geralmente têm acesso privilegiado a informações confidenciais que os agentes de ameaças podem explorar. Isso inclui a infraestrutura da empresa, dados armazenados nela, sub-redes de rede interna, endpoints.
“Os dados sugerem que a fonte do vazamento provavelmente foi uma ferramenta de segurança empregada pela Belcan para escanear e rastrear sua infraestrutura em busca de vulnerabilidades. O acesso a essas ferramentas deve ser protegido a todo custo”, alertam os pesquisadores da Cybernews.
Eles também notaram entradas nos dados vazados sugerindo que algumas vulnerabilidades foram detectadas, mas não corrigidas pela empresa.
Um exemplo proeminente de um ataque bem-sucedido à cadeia de suprimentos é o ataque SolarWinds que ocorreu em 2020. Durante esse incidente, invasores apoiados pelo governo russo se infiltraram no ambiente de desenvolvimento de software da empresa e implantaram códigos maliciosos nas atualizações de software. Essas atualizações comprometidas foram posteriormente enviadas para milhares de clientes, entre eles agências governamentais e grandes corporações.
Outros ataques notórios incluem os ataques de ransomware da cadeia de suprimentos NotPetya, Asus Live Update e Kaseya VSA.
Fonte: The Hacker News
