image

VS: overheidsinstanties vaak via vier kwetsbaarheden aangevallen

maandag 14 september 2020, 16:51 door Redactie, 2 reacties

Amerikaanse overheidsinstanties zijn het afgelopen jaar het doelwit geweest van aanvallers die vanuit China opereerden en herhaaldelijk hierbij dezelfde vier kwetsbaarheden gebruikten, zo laat het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security vandaag in een waarschuwing weten.

De aanvallers zijn geaffilieerd met het Chinese ministerie voor Staatsveiligheid en opereren zowel vanuit eigen gewin als in dienst van het ministerie, zo claimt het CISA. Voor het uitvoeren van de aanvallen maken de aanvallers gebruik van opensource-informatie, zoals de zoekmachine Shodan en het uitvoeren van online scans om kwetsbare machines te vinden, en bekende exploits en exploittoolkits.

De gebruikte exploits richten zich specifiek op vier kwetsbaarheden die aanwezig zijn in F5 Big-IP (CVE-2020-5902), Citrix vpn-appliances (CVE-2019-19781), Pulse Secure vpn-servers (CVE-2019-11510) en Microsoft Exchange (CVE-2020-0688). Het CISA is bij meerdere incidenten bij Amerikaanse federale overheidsinstellingen en bedrijven betrokken geweest die via de kwetsbaarheden in F5 Big-IP en Pulse Secure waren gecompromitteerd. Ook heeft het CISA naar eigen zeggen gezien hoe de vanuit China opererende aanvallers gebruikmaakten van het Exchange-lek om e-mails van federale overheidsomgevingen te verzamelen.

Deze vier kwetsbaarheden zijn al geruime tijd bekend, iets wat ook het CISA benadrukt. "In de meeste gevallen zijn cyberoperaties succesvol vanwege misconfiguratie en onvolwassen patchmanagementprogramma's, waardoor aanvallers aanvallen via bestaande kwetsbaarheden en bekende exploits kunnen uitvoeren", aldus de overheidsinstantie.

Het CISA roept organisaties dan ook op om de vier genoemde kwetsbaarheden met prioriteit te patchen, mocht dat nog niet zijn gedaan, en meer aandacht aan updates en configuraties te geven. "Het implementeren van een rigoureus configuratie- en patchmanagementprogramma hindert de aanvallen van geraffineerde aanvallers en beschermt de middelen en systemen van organisaties."

Reacties (2)
14-09-2020, 21:19 door Anoniem
"In de meeste gevallen zijn cyberoperaties succesvol vanwege misconfiguratie en onvolwassen patchmanagementprogramma's, waardoor aanvallers aanvallen via bestaande kwetsbaarheden en bekende exploits kunnen uitvoeren"

<- Het stopt ook nooit heh :) http://phrack.org/issues/7/3.html
16-09-2020, 00:00 door Anoniem
Als met alle tools kan de shodan zoekmachine voor beveiligings- en aanvalsdoeleinden worden gebruik dan wel misbruikt.

Een hamer kan men gebruiken om iets mee te scheppen en iets mee te verwoesten.

Een zoekmachine kan men gebruiken om betere beschermingsmethoden mee op te zoeken of code daartoe;
ofwel voor het zoeken van instructies om online te compromitteren. Alles ligt aan de intentie van de zoeker.

Maar wat voor shodan geldt, geldt eigenlijk voor vrijwel alle scantools, die eventuele uit te buiten kwetsbaarheden blootleggen.
Zoals bijvoorbeeld deze Rebex dienst: https://sshcheck.com/server/

Dus strijdt voor de goede zaak, vrienden.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.