Cyber News 研究小组披露，美国政府和国防承包商 Belcan 向公众公开了其超级管理员凭据，这一“失误”可能会引起严重的供应链攻击。

Belcan 作为一家政府、国防和航空航天承包商，主要为客户提供设计、软件、制造、供应链、信息技术和数字工程解决方案。据悉，该公司 2022 年的收入达到 9.5 亿美元，是 40 多个美国联邦机构值得信赖的战略合作伙伴。

5 月 15 日，Cybernews 研究团队发现一个开放的 Kibana 实例，其中包含部分 Belcan 公司员工和内部基础设施的敏感信息。（Kibana 是数据搜索和分析引擎 ElasticSearch 的可视化仪表板，这些系统能够帮助企业处理大量数据。）

值得注意的是，虽然泄露的信息凸显了 Belcan 公司通过实施渗透测试和审计对信息安全的承诺，但攻击者可能会利用这一漏洞，公开测试结果以及用 bcrypt 加密的管理凭据。

开放 Kibana 实例中泄露的 Belcan 数据包含以下内容：

管理员电子邮件；

管理员密码（使用 bcrypt 散列，成本设置为 12）；

管理员用户名；

管理员角色（分配给哪些组织）；

内部网络地址；

内部基础设施主机名和 IP 地址；

内部基础架构漏洞以及采取的补救/不补救措施。

Bcrypt 是一种常见的安全哈希算法，为防范攻击者增加了一层安全保护，但其哈希值仍有可能被破解，其它身份验证数据也可能被用于鱼叉式网络钓鱼攻击。在这种情况下，攻击者可能需要长达 22 年的时间才能破解一个非常强大的管理员密码，但如果密码较弱的话，容易受到字典攻击，攻击者可能在几天内就会破解密码。

此外，Cybernews 研究小组指出数据表明并非所有漏洞都得到了修补，攻击者可以通过检查 Belcan 公司修复漏洞的进展，识别出尚未打补丁的脆弱系统，并为其提供具有特权访问权限的账户凭证，从而使针对组织的潜在攻击变得更加容易和快速。这样带来的最大风险是由间谍活动、影响力或代理人战争等政治和军事目标驱动的高级持续威胁 (APT)。

Cybernews 向 Belcan 公司通报了发现的安全漏洞，在文章发布之前，该公司已采取保障措施解决了这一问题。

文章来源：

https://securityaffairs.com/149779/data-breach/belcan-leaks-admin-password.html