CISA: slechte cyberhygiëne geeft aanvallers toegang tot clouddiensten
Aanvallers maken misbruik van de slechte cyberhygiëne van organisaties om toegang tot hun clouddiensten te krijgen, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het federale agentschap voor cybersecurity is bekend met meerdere organisaties waarvan de cloudomgeving werd gecompromitteerd omdat de digitale beveiliging te wensen overliet.
In één geval maakte de aangevallen organisatie geen gebruik van een virtual private network (vpn) om medewerkers toegang tot het bedrijfsnetwerk te geven. De terminalserver van de organisatie bevond zich wel achter de firewall. Vanwege het thuiswerken was echter poort 80 opengezet om de terminalserver voor medewerkers toegankelijk te maken. Aanvallers maakten hiervan misbruik en wisten door middel van een bruteforce-aanval toegang tot de server te krijgen.
Ook ziet het CISA nog altijd succesvolle phishingaanvallen tegen organisaties. De aanvallers sturen phishingmails die naar een bestandsopslagdienst lijken te wijzen. In werkelijkheid gaat het om een phishingsite. De gegevens die slachtoffers daar invoeren worden vervolgens gebruikt om hun accounts over te nemen. Vanuit deze accounts sturen de aanvallers phishingmails naar andere personen in de aangevallen organisatie.
Aanvallers wijzigen in gecompromitteerde e-mailaccounts ook bestaande doorstuurregels die gebruikers hadden ingesteld om e-mail van bepaalde afzenders naar hun persoonlijke account door te sturen. De aangepaste regel stuurt vervolgens deze e-mails door naar een e-mailadres van de aanvaller. Verder heeft het CISA ook aanvallen gezien waarbij de multifactorauthenticatie werd omzeild. Hierbij zouden de aanvallers browsercookies hebben gestolen om door middel van een "pass-the-cookie" aanval de multifactorauthenticatie te omzeilen.
"Dit soort aanvallen doen zich geregeld voor wanneer het personeel van getroffen organisaties thuiswerkt en een combinatie van bedrijfslaptops en persoonlijke apparaten gebruikt om de respectievelijke clouddiensten te benaderen. Ondanks het gebruik van securitytools was er bij de getroffen organisaties meestal sprake van een slechte cyberhygiëne waardoor aanvallers succesvol konden toeslaan", aldus het CISA.
De webinterface van een terminal server kan draaien op poort 80.
Men slaat, zoals anoniem van 11:41 aangeeft, al helemaal door.
Gewoon een kwestie van geen goede connectie-beveiliging, downgrade aanvallen mogelijk en dergelijke zaken.
Onvoldoende header security, sri, en andere veiligheidsmaatregelen,
vanwege "voor een dubbeltje op de eerste rang willen zitten of opzettelijke onophoudelijke "security through obscurity".
Die de besluiten nemen hebben er geen verstand van meestal en degenen, die er verstand van hebben,
tellen vrijwel niet mee.
Ik word hier zo moe van, dat die pn*wed toestand maar aanhoudt en er nooit bij wordt verteld,
dat het vaak opzettelijk wordt gedaan.
Corruptie en dit gepland en wel top-down of er moet sprake zijn van grenzeloze incompetentie
(kan ook weer opzettelijk zijn).
Cyberhygiene gaat je niet helpen binnen een bijkans open main stream cyberwar.
Er verandert namelijk niets in het algemene veiligheidsbeeld op de Interwebz infrastructuur.
Dat moet je te denken geven. Zij weten alles en wij horen slechts iets op "need to know" basis.
Ken er voldoende feiten voor.
luntrus
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.