Un investigador de seguridad alertó al gigante del software de red SolarWinds el año pasado que se podía acceder a su servidor de actualización de software con la contraseña: «solarwinds123».
«Esto podría haberlo hecho cualquier atacante, fácilmente», dijo Vinoth Kumar, el investigador de seguridad, sobre el descubrimiento de la contraseña relativamente insegura.
SolarWinds se enfrenta a un mayor escrutinio después de revelar que ha sido objeto de un importante ataque. La empresa presta servicios a la gran mayoría de las empresas Fortune 500 y a las principales agencias gubernamentales de EE. UU.
Otro experto en ciberseguridad, Kyle Hanslovan, notó días después que SolarWinds se diera cuenta de que su software se había visto comprometido, las actualizaciones maliciosas aún estaban disponibles para descargar.
La empresa dijo en una declaración ante la Comisión de Bolsa y Valores que cree que hasta 18,000 clientes instalaron actualizaciones de su red Orion, lo cual según los expertos los abrió a un ataque que se centró en un malware conocido como SUNBURST.
“Ha habido una cobertura mediática significativa de los ataques a agencias del gobierno de EE. UU. y otras empresas, y muchos de esos informes atribuyen esos ataques a una vulnerabilidad en los productos Orion. SolarWinds todavía está investigando si una vulnerabilidad en los productos Orion, y en qué medida, fue explotada con éxito en cualquiera de los ataques reportados”, dijo SolarWinds en una declaración para la Comisión de Bolsa y Valores el lunes.
SolarWinds otorga servicios a más de 300,000 clientes en todo el mundo. Según una lista parcial de clientes que fue retirada de la red, los clientes incluyen las cinco divisiones del ejército de EE.UU., más de 425 de la lista Fortune 500 de EE.UU. y la Oficina del presidente de Estados Unidos.
Las empresas incluyen Dominion Voting Systems, el cual proporciona equipos y software de votación a 28 estados. El director ejecutivo de Dominion dijo a los legisladores estatales en Michigan el martes que la empresa nunca ha utilizado el producto SolarWinds Orion, que es susceptible a la vulnerabilidad.
La Agencia de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional ordenó el lunes a todas las agencias que habían descargado las actualizaciones en cuestión que desconectaran los dispositivos afectados, diciendo que era la única medida de mitigación conocida en la actualidad.
SolarWinds dijo en su sitio web que sus sistemas «experimentaron un ataque manual de cadena de suministro altamente sofisticado», y agregó: «Se nos han informado que este ataque probablemente fue realizado por un estado-nación externo y pretendía ser un ataque limitado, extremadamente focalizado y ejecutado manualmente, a diferencia de un ataque amplio en todo el sistema».
En la declaración, SolarWinds dijo que una investigación descubrió evidencia de que la vulnerabilidad se insertó dentro de los productos Orion y existió en las actualizaciones publicadas entre marzo y junio.
Se pidió a los clientes que actualizaran los productos afectados a una nueva versión o se desconectaran de la plataforma.
Según la empresa de ciberseguridad FireEye, los hackers troyanizaron la actualización de Orion para distribuir el malware o código malicioso.
Con información de Zachary Stieber.
Siga a Ivan en Twitter: @ivanpentchoukov
A continuación
“Guerra sin restricciones” del régimen chino contra occidente
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.