国防承包商Belcan泄露管理员密码并包含一系列缺陷
Cybernews 研究团队透露,美国政府和国防承包商 Belcan 向公众开放了其超级管理员凭据。
Belcan 是一家政府、国防和航空航天承包商,提供全球设计、软件、制造、供应链、信息技术和数字工程解决方案。该公司预计 2022 年收入为 9.5 亿美元,是 40 多个美国联邦机构值得信赖的战略合作伙伴。
5 月 15 日,Cybernews 研究团队发现了一个开放的 Kibana 实例,其中包含有关 Belcan、其员工和内部基础设施的敏感信息。Kibana 是数据搜索和分析引擎 ElasticSearch 的可视化仪表板。这些系统帮助企业处理大量数据。
虽然泄露的信息凸显了 Belcan 通过实施渗透测试和审计对信息安全的承诺,但攻击者可以利用开放测试结果以及使用 bcrypt 散列的管理员凭据的漏洞。
开放的 Kibana 实例中泄露的 Belcan 数据包含以下内容:
- 管理员电子邮件
- 管理员密码(使用 bcrypt 进行哈希处理)
- 管理员用户名
- 管理员角色(他们被分配到哪些组织)
- 内部网络地址
- 内部基础设施主机名和 IP 地址
- 内部基础设施漏洞以及为补救/不补救而采取的行动。
Bcrypt 是一种安全的散列算法,增加了一层安全防护以防止攻击者。然而,哈希值仍然可以被破解,并且其他身份验证数据可能被用于鱼叉式网络钓鱼攻击。
在这种情况下,攻击者可能需要长达 22 年的时间才能破解非常强的管理员密码。如果密码较弱且容易受到词汇攻击,则可能在短短几天内被破解。
攻击者还可以检查该公司修复已发现漏洞的进度,数据表明并非所有漏洞都已得到解决。
Cybernews 研究团队写道:“这些信息可以帮助攻击者识别尚未修补的易受攻击的系统,并为他们提供具有特权访问权限的帐户凭据,从而使针对组织的潜在攻击变得更加容易和更快。”
最重大的风险是由间谍活动、影响力或代理人战争等政治和军事目标驱动的国家资助的高级持续威胁 (APT)。
Cybernews 向 Belcan 通报了发现的漏洞,在本文发布之前,该公司已实施保障措施来解决该问题。在发表本文之前,贝尔坎没有对调查结果发表任何额外评论。
