SolarWinds-ceo Sudhakar Ramakrishna heeft tijdens de RSA Conferentie excuses gemaakt voor het beschuldigen van een stagiair tijdens een hoorzitting van het Amerikaanse Huis van Afgevaardigden en liet weten dat de aanvallers mogelijk al in januari 2019 het bedrijf waren binnengedrongen.
Op 13 december 2020 maakte SolarWinds bekend dat aanvallers toegang hadden gekregen tot de systemen van het bedrijf en updates voor het Orion-platform van een backdoor hadden voorzien. Een dag na deze aankondiging liet onderzoeker Vinoth Kumar weten dat hij SolarWinds op 19 november 2019 had gewaarschuwd dat het wachtwoord voor een ftp-server van het softwarebedrijf op een publiek toegankelijk GitHub-respository stond. Het wachtwoord was 'solarwinds123'
Tijdens een hoorzitting over de wereldwijde supply-chain-aanval via de software van SolarWinds kwam ook het gelekte wachtwoord te sprake. Volgens voormalig directeur Kevin Thompson was het een fout van een stagiair die in strijd met het wachtwoordbeleid handelde. Nadat SolarWinds dit ontdekte werd het wachtwoord online verwijderd. Ook de huidige directeur van SolarWinds, Ramakrishna, stelde dat het om een wachtwoord van een stagiair ging dat deze persoon op zijn eigen GitHub-account had geplaatst waar het voor iedereen toegankelijk was.
Uit e-mails tussen Kumar en SolarWinds blijkt dat de onderzoeker met het gelekte wachtwoord op de ftp-server kon inloggen en bestanden kon uploaden. Kumar waarschuwde dat een aanvaller zo het bedrijf met malware zou kunnen infecteren.
"Je wilt dat je medewerkers, waaronder stagiairs, fouten maken en van die fouten leren om samen beter te worden. Je wilt dezelfde fout natuurlijk niet blijven maken , maar je wilt vooruitgaan", aldus Ramakrishna. "Wat tijdens de hoorzitting plaatsvond, waarbij we de schuld bij een stagiair legden, was niet gepast, was niet hoe we zijn en is niet hoe we zijn. We hebben daarvan geleerd en ik wil duidelijk maken dat we een veilige omgeving zijn en het beste talent willen aantrekken en behouden."
SolarWinds liet eerder weten dat de aanvallers in september 2019 toegang tot de systemen hadden gekregen. Op 12 september voegden de aanvallers testcode toe aan de Orion-software van SolarWinds. Deze test, zoals SolarWinds het noemt, liep door tot 4 november 2019. Eind februari 2020 werd voor het eerst een backdoor aan een software-update voor het Orion-platform toegevoegd. Deze update werd in maart aan klanten aangeboden. Vervolgens werden nog een aantal updates aangepast, waarbij de laatste besmette update op 24 juni 2020 verscheen.
Recentelijk ontdekte SolarWinds dat de aanvallers mogelijk al sinds januari 2019 toegang tot de systemen hadden. Ramakrishna spreekt van zeer vroege verkenningsactiviteiten die in januari van dat jaar zijn waargenomen. "Wat verklaart waardoor ze konden doen wat ze in september 2019 deden", aldus de ceo.
Deze posting is gelocked. Reageren is niet meer mogelijk.