Cyber News 研究小組披露，美國政府和國防承包商 Belcan 向公眾公開了其超級管理員憑據(jù)，這一“失誤”可能會引起嚴重的供應鏈攻擊。

Belcan 作為一家政府、國防和航空航天承包商，主要為客戶提供設計、軟件、制造、供應鏈、信息技術和數(shù)字工程解決方案。據(jù)悉，該公司 2022 年的收入達到 9.5 億美元，是 40 多個美國聯(lián)邦機構值得信賴的戰(zhàn)略合作伙伴。

5 月 15 日，Cybernews 研究團隊發(fā)現(xiàn)一個開放的 Kibana 實例，其中包含部分 Belcan 公司員工和內部基礎設施的敏感信息。（Kibana 是數(shù)據(jù)搜索和分析引擎 ElasticSearch 的可視化儀表板，這些系統(tǒng)能夠幫助企業(yè)處理大量數(shù)據(jù)。）

值得注意的是，雖然泄露的信息凸顯了 Belcan 公司通過實施滲透測試和審計對信息安全的承諾，但攻擊者可能會利用這一漏洞，公開測試結果以及用 bcrypt 加密的管理憑據(jù)。

開放 Kibana 實例中泄露的 Belcan 數(shù)據(jù)包含以下內容：

• 管理員電子郵件；
• 管理員密碼（使用 bcrypt 散列，成本設置為 12）；
• 管理員用戶名；
• 管理員角色（分配給哪些組織）；
• 內部網絡地址；
• 內部基礎設施主機名和 IP 地址；
• 內部基礎架構漏洞以及采取的補救/不補救措施。

Bcrypt 是一種常見的安全哈希算法，為防范攻擊者增加了一層安全保護，但其哈希值仍有可能被破解，其它身份驗證數(shù)據(jù)也可能被用于魚叉式網絡釣魚攻擊。在這種情況下，攻擊者可能需要長達 22 年的時間才能破解一個非常強大的管理員密碼，但如果密碼較弱的話，容易受到字典攻擊，攻擊者可能在幾天內就會破解密碼。

此外，Cybernews 研究小組指出數(shù)據(jù)表明并非所有漏洞都得到了修補，攻擊者可以通過檢查 Belcan 公司修復漏洞的進展，識別出尚未打補丁的脆弱系統(tǒng)，并為其提供具有特權訪問權限的賬戶憑證，從而使針對組織的潛在攻擊變得更加容易和快速。這樣帶來的最大風險是由間諜活動、影響力或代理人戰(zhàn)爭等政治和軍事目標驅動的高級持續(xù)威脅 (APT)。

Cybernews 向 Belcan 公司通報了發(fā)現(xiàn)的安全漏洞，在文章發(fā)布之前，該公司已采取保障措施解決了這一問題。

文章來源：https://securityaffairs.com/149779/data-breach/belcan-leaks-admin-password.html