Hackernews 编译，转载请注明出处： 美国政府和国防承包商Belcan将其超级管理员证书向公众开放，一个失误就可能导致严重的供应链攻击。 Belcan是一家政府、国防和航空航天网络承包商，提供全球设计、软件、制造、供应链、信息技术和数字工程解决方案。据报道，该公司在2022年的收入为9.5亿美元，是40多个美国联邦机构信赖的战略合作伙伴。 5月15日，Cybernews研究小组发现了一个开放的Kibana实例，其中包含有关Belcan员工和其内部基础设施的敏感信息。Kibana是数据搜索和分析引擎ElasticSearch的可视化仪表板。这些系统帮助企业处理大量的数据。 虽然泄露的信息突显了Belcan通过实施渗透测试和审计来保证信息安全的承诺，但攻击者可能会利用开放的测试结果的漏洞，以及用bcrypt散列的管理凭据。 在开放的Kibana实例中泄露的Belcan数据包含以下内容: 管理员电子邮件 管理员密码(使用bcrypt散列，成本设置为12) 管理员用户名 管理角色(他们被分配到什么组织) 内部网络地址 内部基础设施主机名和IP地址 内部基础设施漏洞和采取的补救/不补救措施。 Bcrypt是一种安全的散列算法，它增加了一层防范攻击者的安全防护。但是，哈希仍然可以被破解，并且其他身份验证数据可能被用于鱼叉式网络钓鱼攻击。 在这种情况下，攻击者可能需要长达22年的时间才能破解一个非常强大的管理密码。如果密码较弱，容易受到词汇攻击，则可能在几天内被破解。 攻击者还可以查看该公司修复已发现漏洞的进度。数据显示，并不是所有漏洞都得到了解决。 Cybernews研究团队写道:“这些信息可以帮助攻击者识别未打补丁的易受攻击的系统，并为他们提供具有特权访问权限的帐户凭证，从而使针对组织的潜在攻击变得更加容易和快速。” 最重要的风险是由间谍、影响或代理战争等政治和军事目标驱动的国家支持的高级持续威胁(APT)。 Cybernews向Belcan通报了发现的漏洞，在漏洞发布之前，该公司已经实施了安全措施来解决这个问题。截稿前，Belcan没有发表任何额外的声明。 整个供应链都面临风险 Belcan的泄密给更广泛的组织带来了重大风险。 攻击者可以绕过身份验证机制，访问开放的凭据和其他信息，从而极大地促进组织的破坏。 然后，黑客可以访问敏感的客户信息，包括航空航天、国防公司和政府机构信息。 “这种攻击通常是APT组织在情报收集行动中实施的，目的是窃取专有信息，以使他们能够复制先进产品的设计和程序、获取经济利益等。”研究人员写道。 这些信息对于攻击者来说特别有价值，因为它可以用于技术间谍活动、获取秘密军事信息，甚至可以破坏政府机构。 Belcan最敏感的客户位于美国，因此，一次成功的攻击将特别关系到美国公民的安全。 泄露似乎源自Belcan使用的安全工具。这表明保持这些工具安全的重要性，因为它们通常具有访问敏感信息的特权，攻击者可以利用这些信息。这包括公司的基础设施、存储在其中的数据、内部网络子网、端点。 数据显示，泄露的源头很可能是Belcan用来扫描和跟踪其基础设施漏洞的安全工具。“应该不惜一切代价保护对这些工具的访问。”研究人员警告道。 他们还注意到，泄露数据的条目表明，该公司发现了一些漏洞，但没有修补。 一个成功的供应链攻击的突出案例是发生在2020年的SolarWinds攻击。在这次事件中，俄罗斯政府支持的攻击者渗透到公司的软件开发环境中，并在软件更新中植入恶意代码。这些被攻击的更新随后被发送给数千名客户，其中包括政府机构和大公司。 其他臭名昭著的攻击包括NotPetya、Asus Live Update和Kaseya VSA供应链勒索软件攻击。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

近期的一些教训提醒了美国五角大楼官员，使用商业云时需要采取额外的安全措施。为此，他们决定自己亲自动手进行查验。 五角大楼代理正职的副首席信息官大卫·麦考恩（David McKeown）在上周三AFCEA TechNet网络会议的小组讨论中表示，“近期发生的一系列事件表明，我们可能需要解决某些可见性问题，也许应该从外部视角来观察服务商为我们建造的云环境。” 美国国防部采购的云服务商会使用“一套严格的检查”，包括建立持续监控，并定期向国防部上报检查结果。 但泄露事件仍时有发生。为了防患于未然，国防部希望能够定期检查服务商代表客户运营的云基础设施。 麦考恩向外媒Defense One表示，“我们希望能了解基础设施周边发生了什么，甚至以内部的红队角度开展深入研究。” “因为一旦有人侵入云服务的管理程序…就相当于掌握了打开王国大门的钥匙。我们想确保服务商所拥有的一切都安全可靠，并且随着时间推移始终保持稳定。” 这个概念本身并不新鲜。2023年国防授权法案中的一项条款就授权五角大楼对保存机密级数据的云基础设施开展威胁评估。麦考恩表示，国防部一直在与云服务商合作，为定制的（而非商用的）云系统探索安全路径，并且迄今为止“还没有遇到过太大的阻力”。 麦考恩还提到，新的检查将采取“主动防御”形式，例如扫描IP地址以查找各类系统上的漏洞。 “我们可以开展外部扫描，看看有什么被暴露在了互联网上。如果确实易受攻击而且我们发现了问题，就会提醒供应商立即着手处理。在云端，我们也会采取同样的措施。” 近年来，五角大楼经历了多起数据泄露事件，包括今年2月美国特种作战司令部服务器的敏感邮件暴露事件，该服务器没有设置保护密码。 麦考恩在小组讨论中指出，“每当看到事件发生，都会出现我们把所有鸡蛋都放进云服务这个篮子里的批评声音。但我想用亲身经历向大家证明：我们也曾在部门之内构建并保护过各种系统，其实际水平远无法与云服务商的方案相提并论。” 总之，“我们双方必须在网络安全领域取得成功，这样才能携手并进、共赴未来。”     转自 安全内参，原文链接：https://www.secrss.com/articles/54472 封面来源于网络，如有侵权请联系删除