关于美国国防承包商 Belcan 爆出漏洞，泄露了一系列管理员数据的动态情报

一、基本内容

  美国政府和国防承包商Belcan将其超级管理员证书向公众开放，一个失误就导致严重的供应链攻击。Belcan是一家政府、国防和航空航天网络承包商，提供全球设计、软件、制造、供应链、信息技术和数字工程解决方案。据报道，该公司在2022年的收入为9.5亿美元，是40多个美国联邦机构信赖的战略合作伙伴。

二、相关发声情况

5月15日，Cybernews研究小组发现了一个开放的Kibana实例，其中包含有关Belcan员工和其内部基础设施的敏感信息。Kibana是数据搜索和分析引擎ElasticSearch的可视化仪表板。这些系统帮助企业处理大量的数据。 虽然泄露的信息突显了Belcan通过实施渗透测试和审计来保证信息安全的承诺，但攻击者可能会利用开放的测试结果的漏洞，以及用bcrypt散列的管理凭据。在开放的Kibana实例中泄露的Belcan数据包含以下内容:管理员电子邮件、管理员密码、(使用bcrypt散列，成本设置为12)管理员用户名、管理角色、内部网络地址、内部基础设施主机名和IP地址、内部基础设施漏洞和采取的补救/不补救措施。

Bcrypt是一种安全的散列算法，它增加了一层防范攻击者的安全防护。但是，哈希仍然可以被破解，并且其他身份验证数据可能被用于鱼叉式网络钓鱼攻击。在这种情况下，攻击者可能需要长达22年的时间才能破解一个非常强大的管理密码。如果密码较弱，容易受到词汇攻击，则可能在几天内被破解。攻击者还可以查看该公司修复已发现漏洞的进度。数据显示，并不是所有漏洞都得到了解决。

Cybernews研究团队写道:“这些信息可以帮助攻击者识别未打补丁的易受攻击的系统，并为他们提供具有特权访问权限的帐户凭证，从而使针对组织的潜在攻击变得更加容易和快速。”最重要的风险是由间谍、影响或代理战争等政治和军事目标驱动的国家支持的高级持续威胁(APT)。Cybernews向Belcan通报了发现的漏洞，在漏洞发布之前，该公司已经实施了安全措施来解决这个问题。

三、分析研判

因为敏感信息泄露导致整个供应链都面临风险，同时Belcan的泄密给更广泛的组织带来了重大风险。攻击者可以绕过身份验证机制，访问开放的凭据和其他信息，从而极大地促进组织的破坏。然后，黑客可以访问敏感的客户信息，包括航空航天、国防公司和政府机构信息。这种攻击通常是APT组织在情报收集行动中实施的，目的是窃取专有信息，以使他们能够复制先进产品的设计和程序、获取经济利益等。

这些信息对于攻击者来说特别有价值，因为它可以用于技术间谍活动、获取秘密军事信息，甚至可以破坏政府机构。泄露似乎源自Belcan使用的安全工具。这表明保持这些工具安全的重要性，因为它们通常具有访问敏感信息的特权，攻击者可以利用这些信息。这包括公司的基础设施、存储在其中的数据、内部网络子网、端点。数据显示，泄露的源头很可能是Belcan用来扫描和跟踪其基础设施漏洞的安全工具。