Cyber News 研究小組披露，美國政府和國防承包商 Belcan 向公眾公開了其超級管理員憑據(jù)，這一“失誤”可能會引起嚴(yán)重的供應(yīng)鏈攻擊。

Belcan 作為一家政府、國防和航空航天承包商，主要為客戶提供設(shè)計(jì)、軟件、制造、供應(yīng)鏈、信息技術(shù)和數(shù)字工程解決方案。據(jù)悉，該公司 2022 年的收入達(dá)到 9.5 億美元，是 40 多個(gè)美國聯(lián)邦機(jī)構(gòu)值得信賴的戰(zhàn)略合作伙伴。

5 月 15 日，Cybernews 研究團(tuán)隊(duì)發(fā)現(xiàn)一個(gè)開放的 Kibana 實(shí)例，其中包含部分 Belcan 公司員工和內(nèi)部基礎(chǔ)設(shè)施的敏感信息。（Kibana 是數(shù)據(jù)搜索和分析引擎 ElasticSearch 的可視化儀表板，這些系統(tǒng)能夠幫助企業(yè)處理大量數(shù)據(jù)。）

值得注意的是，雖然泄露的信息凸顯了 Belcan 公司通過實(shí)施滲透測試和審計(jì)對信息安全的承諾，但攻擊者可能會利用這一漏洞，公開測試結(jié)果以及用 bcrypt 加密的管理憑據(jù)。

開放 Kibana 實(shí)例中泄露的 Belcan 數(shù)據(jù)包含以下內(nèi)容：

• 管理員電子郵件；
• 管理員密碼（使用 bcrypt 散列，成本設(shè)置為 12）；
• 管理員用戶名；
• 管理員角色（分配給哪些組織）；
• 內(nèi)部網(wǎng)絡(luò)地址；
• 內(nèi)部基礎(chǔ)設(shè)施主機(jī)名和 IP 地址；
• 內(nèi)部基礎(chǔ)架構(gòu)漏洞以及采取的補(bǔ)救/不補(bǔ)救措施。

Bcrypt 是一種常見的安全哈希算法，為防范攻擊者增加了一層安全保護(hù)，但其哈希值仍有可能被破解，其它身份驗(yàn)證數(shù)據(jù)也可能被用于魚叉式網(wǎng)絡(luò)釣魚攻擊。在這種情況下，攻擊者可能需要長達(dá) 22 年的時(shí)間才能破解一個(gè)非常強(qiáng)大的管理員密碼，但如果密碼較弱的話，容易受到字典攻擊，攻擊者可能在幾天內(nèi)就會破解密碼。

此外，Cybernews 研究小組指出數(shù)據(jù)表明并非所有漏洞都得到了修補(bǔ)，攻擊者可以通過檢查 Belcan 公司修復(fù)漏洞的進(jìn)展，識別出尚未打補(bǔ)丁的脆弱系統(tǒng)，并為其提供具有特權(quán)訪問權(quán)限的賬戶憑證，從而使針對組織的潛在攻擊變得更加容易和快速。這樣帶來的最大風(fēng)險(xiǎn)是由間諜活動、影響力或代理人戰(zhàn)爭等政治和軍事目標(biāo)驅(qū)動的高級持續(xù)威脅 (APT)。

Cybernews 向 Belcan 公司通報(bào)了發(fā)現(xiàn)的安全漏洞，在文章發(fā)布之前，該公司已采取保障措施解決了這一問題。

文章來源：https://securityaffairs.com/149779/data-breach/belcan-leaks-admin-password.html