美国政府和国防承包商 Belcan 因失误泄露管理员密码并包含一系列缺陷

美国政府和国防承包商 Belcan 向公众开放其超级管理员凭据。网络新闻研究团队透露，这一失误可能会导致严重的供应链攻击。

Belcan 是一家政府、国防和航空航天承包商，提供全球设计、软件、制造、供应链、信息技术和数字工程解决方案。该公司预计 2022 年收入为 9.5 亿美元，是 40 多个美国联邦机构值得信赖的战略合作伙伴。

5 月 15 日，Cybernews 研究团队发现了一个开放的 Kibana 实例，其中包含有关 Belcan、其员工和内部基础设施的敏感信息。Kibana 是数据搜索和分析引擎 ElasticSearch 的可视化仪表板。这些系统帮助企业处理大量数据。

攻击者可以利用开放测试结果以及使用 bcrypt 散列的管理员凭据的漏洞。

开放的 Kibana 实例中泄露的 Belcan 数据包含以下内容：

• 管理员电子邮件

• 管理员密码（使用 bcrypt     进行哈希处理）

• 管理员用户名

• 管理员角色

• 内部网络地址

• 内部基础设施主机名和 IP 地址

• 内部基础设施漏洞以及为补救/不补救而采取的行动。

Bcrypt 是一种安全的散列算法，增加了一层安全防护以防止攻击者。然而，哈希值仍然可以被破解，并且其他身份验证数据可能被用于鱼叉式网络钓鱼攻击。

在这种情况下，攻击者可能需要长达 22 年的时间才能破解非常强的管理员密码。如果密码较弱且容易受到字典攻击，则可能在短短几天内被破解。

攻击者还可以检查该公司修复已发现漏洞的进度，数据表明并非所有漏洞都已得到解决。

Cybernews 研究团队写道：“这些信息可以帮助攻击者识别尚未修补的易受攻击的系统，并为他们提供具有特权访问权限的帐户凭据，从而使针对组织的潜在攻击变得更加容易和更快。”

最重大的风险是由间谍活动、影响力或代理人战争等政治和军事目标驱动的高级持续威胁 (APT)。

Cybernews 向 Belcan 通报了发现的漏洞，在本文发布之前，该公司已实施保障措施来解决该问题。在发表本文之前，贝尔坎没有对调查结果发表任何额外评论。

整个供应链面临风险

Belcan 的泄密事件给更广泛的组织带来重大风险。

访问开放凭证和其他信息将极大地促进对组织的破坏，因为攻击者可以绕过身份验证机制。

攻击者可以访问敏感的客户信息，包括航空航天、国防公司和政府机构。

Cybernews 研究人员写道：“此类攻击通常由 APT 组织在情报收集活动中实施，目的是窃取专有信息，从而使他们能够复制先进产品的设计和程序，并获取经济利益。”

此类信息对于攻击者来说尤其有价值，因为它可以用于技术间谍活动、获取秘密军事信息，甚至允许破坏政府机构。

此次泄露似乎源自 Belcan 使用的安全工具。这表明保持这些工具安全的重要性，因为它们通常拥有访问威胁行为者可以利用的敏感信息的特权。这包括公司的基础设施、其中存储的数据、内部网络子网、端点。

“数据表明，泄漏的来源很可能是 Belcan 使用的安全工具来扫描和跟踪其基础设施是否存在漏洞。应不惜一切代价保护对此类工具的访问。”研究人员警告说。

他们还注意到泄露数据中的条目表明该公司检测到了一些漏洞但没有修补。

成功供应链攻击的一个突出例子是2020年发生的SolarWinds攻击。在此事件中，攻击者渗透到该公司的软件开发环境，并将恶意代码植入到软件更新中。这些受损的更新随后被发送给数千名客户，其中包括政府机构和大公司。

其他臭名昭著的攻击包括NotPetya、Asus Live Update 和Kaseya VSA 供应链勒索软件攻击。

参考链接：https://cybernews.com/security/belcan-leaks-admin-password-flaws/