image

Microsoft waarschuwt voor aanvallen op servers telecomproviders

vrijdag 13 december 2019, 09:37 door Redactie, 17 reacties

Telecomproviders zijn al anderhalf jaar het doelwit van een groep aanvallers die via ongepatchte servers toegang tot de bedrijven weten te krijgen, zo waarschuwt Microsoft. De groep wordt Gallium genoemd en maakt gebruik van bekende kwetsbaarheden in WildFly/JBoss, waarvoor beschikbare beveiligingsupdates niet door de telecomproviders zijn geïnstalleerd.

JavaBeans Open Source Software Application Server (JBoss), dat tegenwoordig bekendstaat als WildFly, is een Java-gebaseerde applicatieserver die door duizenden websites en applicaties wordt gebruikt. De software is al geruime tijd doelwit van aanvallen. Zo gaf de Amerikaanse overheid eind vorig jaar nog een waarschuwing voor aanvallen op Jboss-servers. Desondanks zijn er nog altijd telecomproviders die hun servers niet hebben geüpdatet.

Via de webserver weten de aanvallers toegang tot de rest van het netwerk te krijgen en maken daarbij gebruik van bekende tools en technieken zoals Mimikatz. Via deze tool worden wachtwoorden buitgemaakt waarmee de aanvallers zich lateraal door het netwerk kunnen bewegen. Microsoft merkt op dat de aanvallers voornamelijk gebruikmaken van webshells op de gecompromitteerde servers om verdere malware binnen de aangevallen organisatie te verspreiden. Om aanvallen te voorkomen adviseert Microsoft om webservers en andere systemen te patchen, logs te controleren en webservices met minimale rechten te draaien.

Reacties (17)
13-12-2019, 11:39 door Anoniem
Heh. Net als dat google met graagte problemen in microsoft software aanstipt... microsoft stipt met graagte problemen aan in java-gerelateerde software. Het is ook totaal niet doorzichtig ofzo.

Even snel zoeken op "mimikatz", en de beschrijving is weer geweldig:
mimikatz is a tool I've made to learn C and make somes experiments with Windows security.

It's now well known to extract plaintexts passwords, hash, PIN code and kerberos tickets from memory. mimikatz can also perform pass-the-hash, pass-the-ticket or build Golden tickets.
Oftewel die telcos hebben hun infrastructuur uit windows geknutseld en denken mischien zelfs wel "veilig" te zijn omdat ze ActiveDirectory gebruiken, maar aanvallers kunnen wachtwoorden of geldige tickets te pakken krijgen en hebben dan vrij spel.

Natuurlijk wordt het onderhand toch echt wel tijd om je lekke jboss eens bij te werken. Maar dat is echt niet het enige probleem van die telcos.
13-12-2019, 11:42 door Jean Vohur
WildFly/JBoss

Hee, die heb ik ook nog gebruikt. Probleemloos natuurlijk want goed patches geïnstalleerd. Duh...

Telecomproviders die geen patches installeren zullen natuurlijk problemen krijgen. Duh...

Bedankt Microsoft voor het intrappen van deze open deuren.
13-12-2019, 12:03 door karma4
Door Jean Vohur: ….
Bedankt Microsoft voor het intrappen van deze open deuren.
Ken ik nog wel een open deur: "en webservices met minimale rechten te draaien.'.
Blijkt dat in de praktijk toch geen open deur te zijn.

"Telecomproviders zijn al anderhalf jaar het doelwit van een groep aanvallers "
Dat zou je toch moeten aannemen als je iets aan internet hangt, kennelijk gaat er toch wat niet goed.
Er wordt genoemd dat bedrijven aangevallen worden. Koop die centrale, neerzetten en er niet meer naar omkijken. De code is open source, de leverancier zal het best wel weten. Alle aandacht voor veiligheid is een kostenpost, dus niet zelf kijken.
13-12-2019, 12:09 door Anoniem
Door Jean Vohur:
WildFly/JBoss

Hee, die heb ik ook nog gebruikt. Probleemloos natuurlijk want goed patches geïnstalleerd. Duh...

Telecomproviders die geen patches installeren zullen natuurlijk problemen krijgen. Duh...

Bedankt Microsoft voor het intrappen van deze open deuren.
De deuren staan blijkbaar wel heel erg open en dan mag er best aan de bel getrokken worden.

Blijkbaar hebben deze servers toegang tot het interne netwerk, geen goede IDP/IPS, webservers die onder te veel rechten draaien en verouderde software.

Blunder op Blunder....
13-12-2019, 14:14 door Anoniem
.....bekende kwetsbaarheden in WildFly/JBoss, waarvoor beschikbare beveiligingsupdates niet door de telecomproviders zijn geïnstalleerd.

Het moet niet gekker worden! Pffff.. beschikbare patches niet geïnstalleerd. Duh.
Hier hoort een zware boete op te staan.
13-12-2019, 18:38 door [Account Verwijderd] - Bijgewerkt: 13-12-2019, 18:39
Door karma4:
Door Jean Vohur: ….
Bedankt Microsoft voor het intrappen van deze open deuren.
Ken ik nog wel een open deur: "en webservices met minimale rechten te draaien.'.
Blijkt dat in de praktijk toch geen open deur te zijn.

"Telecomproviders zijn al anderhalf jaar het doelwit van een groep aanvallers "
Dat zou je toch moeten aannemen als je iets aan internet hangt, kennelijk gaat er toch wat niet goed.
Er wordt genoemd dat bedrijven aangevallen worden. Koop die centrale, neerzetten en er niet meer naar omkijken. De code is open source, de leverancier zal het best wel weten. Alle aandacht voor veiligheid is een kostenpost, dus niet zelf kijken.

Hoe weet jij dat de code daar open source is? Bovendien heeft open/closed source niets met dit onderwerp te maken. Maar ik begrijp je wel: je moet weer even azijn pissen over Open Source. Valt me nog mee dat je het L woord nog niet gebruikt hebt.
13-12-2019, 21:09 door karma4
Door Kili Manjaro:
Hoe weet jij dat de code daar open source is? Bovendien heeft open/closed source niets met dit onderwerp te maken. Maar ik begrijp je wel: je moet weer even azijn pissen over Open Source. Valt me nog mee dat je het L woord nog niet gebruikt hebt.
Uit het artikel: JavaBeans Open Source Software Application Server (JBoss), dat tegenwoordig bekendstaat als WildFly,
Ik kan het niet laten ….. je bent echt geblokkeerd in je geloof.
14-12-2019, 02:43 door Anoniem
Wie gebruikt er nog Windows server? Dat is vragen om problemen....
14-12-2019, 02:55 door Jean Vohur - Bijgewerkt: 14-12-2019, 02:57
Door karma4:
Door Kili Manjaro:
Hoe weet jij dat de code daar open source is? Bovendien heeft open/closed source niets met dit onderwerp te maken. Maar ik begrijp je wel: je moet weer even azijn pissen over Open Source. Valt me nog mee dat je het L woord nog niet gebruikt hebt.
Uit het artikel: JavaBeans Open Source Software Application Server (JBoss), dat tegenwoordig bekendstaat als WildFly,
Ik kan het niet laten ….. je bent echt geblokkeerd in je geloof.

En daar is niets mis mee, met dat WildFly. Je moet alleen wel je patches installeren. Dit is gewoon weer een zaak van superieure software maar met ondeskundig beheer.

Microsoft wil graag de aandacht afleiden van de eigen inferieure software en de vele, bijna dagelijkse problemen daarmee, door met het vingertje naar dit soort problemen door ondeskundig beheer te gaan wijzen.
14-12-2019, 12:13 door karma4
Door Jean Vohur:
En daar is niets mis mee, met dat WildFly. Je moet alleen wel je patches installeren. Dit is gewoon weer een zaak van superieure software maar met ondeskundig beheer.

Microsoft wil graag de aandacht afleiden van de eigen inferieure software en de vele, bijna dagelijkse problemen daarmee, door met het vingertje naar dit soort problemen door ondeskundig beheer te gaan wijzen.
Laat ik nu telkens het bewijs zien dat Linux oss evangelisten hun eigen falen proberen te verbergen door maar af te geven op dat andere OS. Kom je met kritiek op problemen op hun gebied dan ben je ineens een microsoft troll. Snap je niet dat met dat heel dwars zit als het me informatieveiligheid gaat.

Je argument dat er niets mis mee zou zijn als je het maar zou bijwerken mist de essentie dat het dus fouten bevat.
14-12-2019, 12:52 door Jean Vohur
Door karma4: Kom je met kritiek op problemen op hun gebied dan ben je ineens een microsoft troll.

Nee hoor, als je je eigen software goed op orde hebt dan mag je best kritiek hebben op andere software. Neem Google, dat geregeld ernstige problemen in software aan de kaak stelt. Google's eigen software is van een superieure kwaliteit en dan valt kritiek op andere software heel anders.
14-12-2019, 13:00 door Anoniem
Door Jean Vohur:
Microsoft wil graag de aandacht afleiden van de eigen inferieure software en de vele, bijna dagelijkse problemen daarmee, door met het vingertje naar dit soort problemen door ondeskundig beheer te gaan wijzen.
Microsoft constateert duidelijk een probleem en adviseert daarover.
Karma4 zoekt weer veel te ver in alles. Maar juist jouw opmerking laat zien waarom. Blijkbaar zitten gewoon beheerders te slapen. Al zijn dit vaak geen Infra beheerders, maar Applicatie beheerders. Immers JBOSS of WildFly komt vaak vanuit Applicatie en installeer je niet voor je lol. Even updaten vanuit infra beheer bij een Telecom bedrijf zit er niet in. Dit moet ondersteund zijn en worden vanuit de Applicatie leveranciers. Daar zit hem werkelijk het probleem.
14-12-2019, 14:43 door Anoniem
Door Jean Vohur:
Door karma4: Kom je met kritiek op problemen op hun gebied dan ben je ineens een microsoft troll.

Nee hoor, als je je eigen software goed op orde hebt dan mag je best kritiek hebben op andere software. Neem Google, dat geregeld ernstige problemen in software aan de kaak stelt. Google's eigen software is van een superieure kwaliteit en dan valt kritiek op andere software heel anders.
Volgens mij is android 1 grote gatenkaas.

Maar dit noemen ze juist evangelisten
14-12-2019, 20:10 door Jean Vohur - Bijgewerkt: 14-12-2019, 20:14
Door Anoniem:
Door Jean Vohur:
Door karma4: Kom je met kritiek op problemen op hun gebied dan ben je ineens een microsoft troll.

Nee hoor, als je je eigen software goed op orde hebt dan mag je best kritiek hebben op andere software. Neem Google, dat geregeld ernstige problemen in software aan de kaak stelt. Google's eigen software is van een superieure kwaliteit en dan valt kritiek op andere software heel anders.
Volgens mij is android 1 grote gatenkaas.

Hoe kom je daar nou bij? Heb je voorbeelden van bedrijven of instanties die aan Android ransomware of andere malware ten prooi zijn gevallen en waarbij miljarden verloren zijn gegaan?

Door Anoniem: Maar dit noemen ze juist evangelisten

Nee, dat noemen ze feiten. En ik had het over de Google search engine, ooit gehoord dat die gehackt is geweest? Ten prooi gevallen aan ransomware? Ooit langere downtime opgemerkt door malware? Nee? Nou, dat komt door de superieure softwarekwaliteit.

Al die ellende met Microsoft Windows is echt een aanfluiting als je het vergelijkt met de Google search engine. Dat is pas een groot systeem, met schier talloze servers die in perfecte harmonie hun werk doen. Hackers, malware, ransomware, ze krijgen er geen vat op. Het werkt gewoon, 24/365 ! Als je zoiets voor elkaar krijgt, dan mag je kritiek hebben op andermans software.
14-12-2019, 22:38 door Anoniem
Mimikatz is toch in de eerste plaats, tenminste in de handen van aanvallers, een tweede lijn Windows attack tool.
Het werd ook o.a. ingezet naast Petya & Non-Petya en bij de nieuwe Petya-ransomware.
Het is geschikt voor het manipuleren van een obscure Windows functie met de naam WDigest.
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Backdoor%3aPowerShell%2fTarpeg.B (clear txt hack).

Voor het gebruik van Mimikatz zijn wel admin rechten nodig.

Trouwens bij Google valt er ook nog voldoende te patchen af en toe.

We zitten nog steeds met de validatie window tussen client en (web)server.
Content Security Policy voor veel websites nog terra incognito.
Header security settings, afvoeren van kwetsbare jQuery bibliotheken,
scannen op bruikbare sinks en sources via DOM-XSS.

Use cloud protection to help guard against the latest malware threats. It’s turned on by default for Microsoft Security Essentials and Windows Defender for Windows 10.

Go to All settings > Update & security > Windows Defender and make sure that your Cloud-based Protection settings is turned On.
bron: Microsoft Security Intelligence.

Het gevaar zit hierin dat een aanvaller vaak aan een klein gaatje voor werkbaar compromitteren genoeg heeft,
terwijl iemand die wil beveiligen een heel breed scala aan mogelijkheden dient af te dekken.

Daarom draai ik snort onder windows en Voodooshield. Tegen slechte configuratie is geen kruid gewassen ondanks welk OS het betreft. Tegen incompetentie en onachtzaamheid bestaat geen remedie.

luntrus
16-12-2019, 07:42 door Anoniem
Dat kun je natuurlijk verwachten als je voor je kritieke infrastructuur iets van microsoft gebruikt en dat ook nog aan internet hangt. Ohja, ook nog wat met patches. Maar ja, die externe consultant vond het zo geweldig he!
17-12-2019, 09:43 door Tintin and Milou
Door Anoniem: Dat kun je natuurlijk verwachten als je voor je kritieke infrastructuur iets van microsoft gebruikt en dat ook nog aan internet hangt. Ohja, ook nog wat met patches. Maar ja, die externe consultant vond het zo geweldig he!
Mocht je het nog niet weten... De issues zitten in WildFly/JBoss, Mocht je dit nog niet weten... WildFly is ook geen Microsoft Product.
Even een quote van wikipedia: https://en.wikipedia.org/wiki/WildFly => JBoss EAP itself is open source

Dus ja... Als je dit niet patched of update. Dan is iedere leverancier lek. Helemaal als je de rest van je infrastructuur niet goed in orde hebt. En telecom providers hebben vaak ook veel verouderde software draaien. Updates installeren doe je in dit soort infrastructuren niet zo snel. Impact kan vrij groot zijn. Zie T-Mobile deze week...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.