image

Gemeenten VS aangevallen via lekken in SharePoint en Pulse Secure

zaterdag 18 januari 2020, 09:45 door Redactie, 7 reacties

Netwerken van verschillende Amerikaanse gemeenten en een financiële entiteit konden vorig jaar worden gecompromitteerd omdat beschikbare beveiligingsupdates voor kwetsbaarheden in Microsoft SharePoint en Pulse Secure VPN niet waren geïnstalleerd, zo heeft de FBI laten weten.

De Amerikaanse opsporingsdienst verstuurde op 8 januari twee "Flash Alerts" waarin het organisaties voor de aanvallen waarschuwt. In het eerste Flash Alert waar Bleeping Computer over bericht wordt gewaarschuwd voor aanvallen op het inmiddels bekende lek in de vpn-software van Pulse Secure. De kwetsbaarheid zou sinds augustus vorig jaar worden gebruikt om "Amerikaanse entiteiten" aan te vallen.

Een beveiligingsupdate voor het lek is sinds april 2019 beschikbaar, maar nog niet door alle organisaties geïnstalleerd. Aanvallers konden zo toegang krijgen tot het netwerk van een Amerikaanse gemeente en een financiële entiteit. Bij de financiële entiteit, die niet verder wordt genoemd, kregen de aanvallers toegang tot de Active Directory en werden inloggegevens voor de vpn-server gestolen. Bij deze aanval zou geen andere data zijn buitgemaakt omdat het de aanvallers niet lukte om toegang tot andere delen van het netwerk te krijgen.

Op basis van de gebruikte technieken, tactieken en procedures vermoedt de FBI dat deze aanvallen door een land zijn uitgevoerd. Het is echter onduidelijk of beide aanvallen het werk zijn van dezelfde aanvaller.

In het andere Flash Alert, waar ZDNet over bericht, waarschuwt de FBI voor een aanval op twee niet nader genoemde Amerikaanse gemeenten. Aanvallers wisten via een kwetsbaarheid in Microsoft SharePoint, waarvoor sinds februari 2019 een update beschikbaar is, toegang tot de netwerken van de gemeenten te krijgen. Wanneer de eerste aanval plaatsvond laat de FBI niet weten, maar de tweede aanval werd in oktober waargenomen. Wederom zouden beide aanvallen door een "nation-state actor" zijn uitgevoerd.

Image

Reacties (7)
18-01-2020, 12:27 door souplost
Feit: Het windows ecosysteem heeft er blijkbaar voor gezorgd dat patchen in de organisatie een drama is geworden.
Dit eco systeem is nu wel heel hard aan het instorten of gaan verzekeringsbedrijven dit oplossen?
18-01-2020, 14:37 door Anoniem
Door souplost: Feit: Het windows ecosysteem heeft er blijkbaar voor gezorgd dat patchen in de organisatie een drama is geworden.
Dit eco systeem is nu wel heel hard aan het instorten of gaan verzekeringsbedrijven dit oplossen?

Pulse Secure heeft toch niks met Windows te maken!
Dat debacle was gewoon het gevolg van de "alles eerst testen, gebruikers niet lastig vallen met onderbrekingen" houding
die beheerders ten onrechte hebben.
Dit wordt denk ik veroorzaakt doordat het aanbrengen van een critical security update in veel handboeken wordt behandeld
als "een change" en daarmee terecht komt in hetzelfde lange traject als functionele changes, wat natuurlijk onverantwoord is.
Dat men er veelal mee wegkwam is natuurlijk geen reden om het zo te blijven doen, zeker nu het er mee weg komen niet
meer zo vanzelfsprekend is.
18-01-2020, 15:03 door Anoniem
Door souplost: Feit: Het windows ecosysteem heeft er blijkbaar voor gezorgd dat patchen in de organisatie een drama is geworden.
Dit eco systeem is nu wel heel hard aan het instorten of gaan verzekeringsbedrijven dit oplossen?

Hoe zouden verzekeringsbedrijven dit oplossen?
Door iets juridisch af te dwingen namens gebruikers en organisaties?
18-01-2020, 17:16 door Anoniem
Door souplost: Feit: Het windows ecosysteem heeft er blijkbaar voor gezorgd dat patchen in de organisatie een drama is geworden.
Dit eco systeem is nu wel heel hard aan het instorten of gaan verzekeringsbedrijven dit oplossen?

Uit welk deel van de tekst kun jij herleiden dat dit een Windows eco systeem probleem is ?
18-01-2020, 18:54 door souplost
Door Anoniem:
Door souplost: Feit: Het windows ecosysteem heeft er blijkbaar voor gezorgd dat patchen in de organisatie een drama is geworden.
Dit eco systeem is nu wel heel hard aan het instorten of gaan verzekeringsbedrijven dit oplossen?

Uit welk deel van de tekst kun jij herleiden dat dit een Windows eco systeem probleem is ?
SharePoint
18-01-2020, 19:05 door Anoniem
Door souplost: Feit: Het windows ecosysteem heeft er blijkbaar voor gezorgd dat patchen in de organisatie een drama is geworden.
Dit eco systeem is nu wel heel hard aan het instorten of gaan verzekeringsbedrijven dit oplossen?
En dan vergeet je maar even iets te roepen over de PluseVPN? Blijkbaar is daar ondanks alle vele nieuws berichten daar ook helemaal niets mee gedaan. De CVE score is daarvan zelfs nog hoger, want deze heeft een 10 gekregen.

Blijkbaar kunnen Networking ecosysteem heeft er blijkbaar voor gezorgd dat patchen in de organisatie een drama is geworden.
Dit eco systeem is nu wel heel hard aan het instorten of gaan verzekeringsbedrijven dit oplossen
19-01-2020, 20:30 door karma4 - Bijgewerkt: 19-01-2020, 20:32
Door souplost: SharePoint
Er zitten ramen in huizen dat ligt aan Bill Gates gewoon overal alle venster veranderen in beton zal wel helpen.
Nee je kennis van de keten faalt https://docs.pulsesecure.net/WebHelp/Content/PCS/PCS_AdminGuide_8.2/Connect%20Secure%20Overview.htm
Firewals applicances voordat het naar een ander server gaat. de voorkant is lek. waardoor je aan de achterkant te veel kan zien. Hoe kan het dat een pulse secure ingang zo veel rechten heeft dat die pulse secure server open ligt?
De PSA7000 is Linux. https://www-prev.pulsesecure.net/download/techpubs/current/708/pulse-connect-secure/pcs/8.2rx/ps-pcs-sa-8.2r3.0-admin-guide.pdf Zoe te zien het bekende geval van hoge rechten waaronder het service account daar draait, dan wel een open admin toegang.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.