SolarWinds: Como uma única credencial de fornecedor alcançou 18.000 organizações, incluindo o governo dos Estados Unidos
Em 13 de dezembro de 2020, a empresa de cibersegurança FireEye divulgou que invasores apoiados por um Estado-nação haviam infiltrado o software de gerenciamento de rede Orion da SolarWinds, criando o que se tornaria o ataque cibernético à cadeia de suprimentos mais significativo da história. A violação expôs uma vulnerabilidade fundamental na forma como as organizações gerenciam o acesso de fornecedores: uma única credencial comprometida permitiu uma invasão em cascata que afetou 18.000 clientes, incluindo nove agências federais dos EUA e empresas da Fortune 500.
O ataque começou quando os invasores inseriram código malicioso nas atualizações do software da SolarWinds entre março e junho de 2020. Quando os clientes instalaram atualizações de rotina, eles concederam, sem saber, acesso persistente às suas redes. Essa violação demonstrou como falhas no gerenciamento de credenciais de fornecedores podem transformar relações comerciais de confiança em ameaças à segurança nacional.
A Falha Crítica no Controle de Acesso de Fornecedores Governamentais
Organizações de defesa e do setor público enfrentam um desafio único no gerenciamento de credenciais de fornecedores. Diferentemente de empresas privadas, que podem limitar o acesso de terceiros, agências governamentais precisam de ampla integração com fornecedores e contratados para tudo, desde infraestrutura de TI até programas de pesquisa classificados. Cada relação com um fornecedor cria possíveis vetores de ataque por meio de credenciais compartilhadas, acessos privilegiados e sistemas interconectados.
O incidente da SolarWinds revelou como as abordagens tradicionais de gerenciamento de credenciais falham em grande escala. Agências governamentais normalmente gerenciam o acesso de fornecedores por meio de processos manuais, contas compartilhadas ou sistemas básicos de gerenciamento de identidade que presumem que as credenciais permanecem seguras após serem emitidas. Essa suposição se mostrou catastrófica quando os invasores obtiveram acesso aos sistemas internos da SolarWinds e utilizaram credenciais existentes de fornecedores para se movimentar lateralmente pelas redes dos clientes.
O ataque teve sucesso porque explorou a relação de confiança entre fornecedores e clientes. As credenciais legítimas da SolarWinds forneceram aos invasores acesso autorizado aos sistemas dos clientes, contornando os controles tradicionais de segurança de perímetro. Para agências governamentais que lidam com informações classificadas ou infraestrutura crítica, isso representou uma falha completa da arquitetura de controle de acesso.
A Escala do Comprometimento: Em Números
A violação da SolarWinds afetou aproximadamente 18.000 organizações que baixaram atualizações de software comprometidas, segundo os próprios registros da empresa junto à SEC. No entanto, os invasores realizaram uma seleção estratégica dos alvos, e a Microsoft estimou que menos de 1.000 organizações foram realmente comprometidas por meio de atividades posteriores.
Entre as vítimas confirmadas, nove agências federais dos Estados Unidos foram comprometidas, incluindo os Departamentos de Estado, Tesouro, Segurança Interna, Energia e Comércio. Os invasores mantiveram acesso persistente por até nove meses antes da detecção, e algumas invasões continuaram por meses após a divulgação inicial.
Os dados sobre o impacto financeiro revelam o verdadeiro custo de um comprometimento de credenciais. A SolarWinds informou ter gasto mais de US$ 18 milhões apenas em resposta ao incidente em 2021, além de enfrentar diversas investigações federais e processos judiciais. A capitalização de mercado da empresa caiu aproximadamente US$ 3,3 bilhões nas semanas seguintes à divulgação, de acordo com registros financeiros.
O Centro Nacional de Segurança Cibernética do Reino Unido identificou que departamentos governamentais britânicos estavam entre os afetados, embora a extensão total permaneça classificada. Impactos semelhantes foram relatados entre aliados da OTAN, demonstrando como o comprometimento de credenciais de fornecedores pode se espalhar por redes governamentais internacionais.
Por Que as Ferramentas Tradicionais de Segurança Falharam
O ataque da SolarWinds teve sucesso apesar da ampla implementação de ferramentas modernas de segurança nas organizações afetadas. Os sistemas de Gerenciamento de Identidade e Acesso (IAM) falharam porque autenticaram credenciais legítimas da SolarWinds — os invasores estavam usando tokens de acesso válidos obtidos por meio do comprometimento da cadeia de suprimentos.
As soluções de Gerenciamento de Acesso Privilegiado (PAM), projetadas para controlar contas de alto valor, foram ineficazes porque os invasores utilizaram acessos padrão de fornecedores em vez de credenciais claramente privilegiadas. O código malicioso operava dentro dos processos normais de atualização de software, evitando o monitoramento do PAM focado em atividades administrativas.
O Single Sign-On (SSO) e a Autenticação Multifator (MFA) não ofereceram proteção porque os invasores ignoraram completamente esses controles. Uma vez dentro das redes das vítimas por meio do acesso legítimo da SolarWinds, os invasores puderam se movimentar lateralmente sem acionar desafios de autenticação projetados para acessos externos.
As arquiteturas Zero Trust, cada vez mais adotadas por agências governamentais, também não conseguiram impedir a violação porque ainda dependiam da validação de credenciais, em vez de controlar sua criação e distribuição. A suposição fundamental — de que as credenciais podem ser confiáveis após serem verificadas — permaneceu intacta e explorável.
Essas ferramentas resolvem problemas de autenticação e monitoramento, mas não solucionam o problema central: as organizações não conseguem controlar credenciais que permitem que terceiros criem e mantenham. Credenciais de fornecedores, por definição, existem fora dos limites de controle organizacional, criando pontos cegos persistentes na arquitetura de segurança.
Solução Estrutural: Controle Organizacional das Credenciais
A violação da SolarWinds demonstra que uma segurança eficaz exige que as organizações mantenham controle completo sobre todas as credenciais que acessam seus sistemas, incluindo acessos de fornecedores. Isso significa mudar da verificação de credenciais para a geração e distribuição controladas de credenciais.
Em um modelo de credenciais controladas, as organizações geram todas as credenciais de acesso centralmente, distribuem-nas de forma criptografada e mantêm capacidade contínua de revogação. Fornecedores e contratados nunca possuem credenciais em texto simples, eliminando a possibilidade de roubo ou uso indevido. O acesso torna-se verdadeiramente resistente a phishing porque os usuários não podem divulgar credenciais que nunca possuem.
Essa abordagem transforma relações com fornecedores de um modelo baseado em confiança para um modelo baseado em verificação. Em vez de confiar que os fornecedores protegerão suas próprias credenciais, as organizações mantêm controle criptográfico sobre os direitos de acesso. Quando fornecedores precisam acessar sistemas, eles solicitam permissões específicas concedidas por meio de distribuição criptografada de credenciais, e não pelo compartilhamento permanente de senhas.
A tecnologia patenteada da MyCena implementa esse modelo garantindo que os usuários nunca vejam ou controlem suas próprias credenciais. O sistema gera credenciais criptograficamente seguras, distribui-as de forma criptografada e permite revogação instantânea em todos os pontos de acesso. Para agências governamentais, isso significa que o acesso de fornecedores pode ser controlado com o mesmo rigor aplicado ao gerenciamento de informações classificadas.
Implicações para Líderes de Defesa e do Setor Público
A violação da SolarWinds criou mudanças regulatórias e operacionais duradouras nas agências governamentais. A Ordem Executiva dos EUA sobre Cibersegurança (EO 14028) agora exige controles específicos para cadeias de suprimentos de software e gerenciamento de acesso de fornecedores. Requisitos semelhantes estão surgindo em países aliados, criando obrigações de conformidade que as ferramentas tradicionais de segurança não conseguem atender.
Os líderes governamentais precisam reconhecer que o comprometimento de credenciais de fornecedores representa um risco sistêmico que exige soluções arquitetônicas, e não apenas melhorias incrementais de segurança. A mudança para uma distribuição controlada de credenciais se tornará uma exigência, e não uma opção, à medida que os regulamentos evoluem.
As organizações devem auditar imediatamente seus mecanismos de acesso de fornecedores e identificar credenciais que existem fora de seu controle direto. Cada credencial não controlada representa um possível vetor de comprometimento semelhante ao da SolarWinds, capaz de fornecer aos invasores acesso autorizado a sistemas críticos.
A lição da SolarWinds é clara: em um ambiente de ameaças cada vez mais interconectado, o controle de credenciais não pode ser delegado a terceiros, independentemente das relações de confiança ou obrigações contratuais. A arquitetura de segurança deve assumir que as credenciais podem ser comprometidas e ser projetada de acordo com essa realidade.