SolarWinds biecht indirect interne IT-chaos op

SolarWinds heeft in een formele verklaring de schuld van de diepe hack in zijn productiesystemen gelegd bij een stagiair. Die zou een zeer zwak wachtwoord hebben ingesteld, dat zeker een jaar vóór de ontdekking van de hack al was uitgelekt. Deze beschuldiging door het management heeft echter implicaties voor de hele IT-opstelling van de gehackte leverancier van beheersoftware.

Jasper BakkerredacteurMeer van deze auteur

SolarWinds

Het zwakke wachtwoord,'solarwinds123', is in 2019 door security-onderzoeker Vinoth Kumar aangetroffen op een publieke plek op internet. Hij heeft dit toen gemeld aan het bedrijf en dat eind vorig jaar verteld aan persbureau Reuters.

Daarnaast is eerder al op ondergrondse fora door meerdere cybercriminelen toegang aangeboden tot de systemen van SolarWinds.

'In 2017'

Het management van het gehackte IT-bedrijf is in een hoorzitting voor Amerikaanse overheidscommissies flink bekritiseerd. "Ik heb een sterker wachtwoord dan 'solarwinds123' om te voorkomen dat mijn kinderen te veel YouTube op hun iPad kijken", stelt politica en jurist Katie Porter. Zij spreekt van een 'crackerjack password' in haar bevraging van SolarWinds nieuwe CEO Sudhakar Ramakrishna. Zijn benoeming werd aangekondigd enkele dagen voordat de grote hack wereldkundig is gemaakt.

De topman, die voorheen CEO was van de gehackte VPN-leverancier Pulse Secure, antwoordt dat het wachtwoord in kwestie door een stagiair is gebruikt, in 2017. Dit is volgens Ramakrishna toen gemeld aan het securityteam van SolarWinds en vervolgens "onmiddellijk verwijderd". Congreslid Porter hekelt SolarWinds nog dat het bedrijf mails van het Amerikaanse ministerie van Defensie had moeten beschermen. Voor zover nu bekend is díe overheidsinstantie niet gehackt in de grote aanvalscampagne die is uitgevoerd via de backdoor in de beheersoftware van SolarWinds.

For over a year, a major cyber attack against @solarwinds enabled foreign hackers to quietly spy on @DeptofDefense, @USTreasury, and @DHSgov. Today, I demanded answers from the company’s CEO—like why their servers were accessible with the password “Solarwinds123.” Yes, really. pic.twitter.com/LsVxWZMirA
— Rep. Katie Porter (@RepKatiePorter) February 26, 2021

Ondertussen wijzen IT- en security-experts er op dat het zorgelijk is dat een stagiair een dergelijk zwak wachtwoord voor een server überhaupt kan invoeren. Het zwakke wachtwoord zou hierbij niet eens het grootste probleem zijn, ook omdat dergelijke wachtwoorden in de praktijk waarschijnlijk veel vaker voorkomen. "Het vinden van domme wachtwoorden is heel gebruikelijk bij veel organisaties", tweet veroordeeld hacker Kevin Mitnick. Bij pentests worden wel vaker wachtwoorden als <bedrijfsnaam>+<jaartal> aangetroffen.

De basis en cultuur

Dat SolarWinds een stagiair noemt, werpt een schaduw op het hele IT-beveiligingsbeleid van die IT-leverancier. Daarin zou dan zelfs de basis niet op orde zijn. "Je security zou stagiairbestendig moeten zijn", tweet de beruchte iPhone- en auto-hacker Charlie Miller. "En waarschijnlijk zelfs senioringenieurbestendig", vult hij zichzelf aan.

De aanvallers waren immers doorgedrongen tot de productie-omgeving van de software van SolarWinds. Daar hadden de binnengedrongen hackers privileges voor het digitaal ondertekenen van de code die de leverancier van beheersoftware aan klanten aanbiedt. In updates is een backdoor 'meegeleverd' waarmee de professionele daders hun uiteindelijke doelwitten hebben gehackt. Naast de IT-misstanden die naar voren komen, krijgt ook de houding - en kennelijke cultuur - van het management van SolarWinds kritiek.