image

FBI waarschuwt voor misbruik van TeamViewer na aanval op waterzuivering

donderdag 11 februari 2021, 08:21 door Redactie, 8 reacties

De FBI waarschuwt organisaties, waaronder die in de vitale sector, voor misbruik van het programma TeamViewer. De waarschuwing is afgegeven na de aanval op een waterzuiveringsinstallatie in Florida waar een aanvaller via TeamViewer op een beheersysteem inlogde en vervolgens de waarden van het zuiveringsmiddel natronloog naar een potentieel gevaarlijk niveau verhoogde.

TeamViewer laat gebruikers op afstand op systemen inloggen. Het wordt onder andere voor beheertoepassingen ingezet. Alle werkstations van de aangevallen waterzuiveringsinstallatie waren op het getroffen beheersysteem aangesloten en gebruikten een 32-bit versie van Windows 7. Daarnaast deelden alle computers hetzelfde wachtwoord voor remote toegang en waren zoals het nu lijkt zonder enige firewall direct vanaf het internet toegankelijk, meldt de Amerikaanse staat Massachusetts.

In de nu verschenen waarschuwing laat de FBI weten dat zowel kwaadwillend personeel als externe aanvallers van 'desktop sharing software' gebruikmaken om toegang tot systemen te krijgen. Daarbij noemt de FBI specifiek TeamViewer als een populaire tool van aanvallers. "Naast de legitieme doeleinden, geeft TeamViewer aanvallers controle over systemen en de mogelijkheid om bestanden te installeren, waardoor de functionaliteit gelijk is aan remote access trojans (RATs)", aldus de Private Industry Notification die de FBI naar organisaties verstuurde en door Eric Geller van Politico op Twitter werd gedeeld.

Daarin waarschuwt de opsporingsdienst niet alleen voor misbruik van TeamViewer, maar ook voor misbruik van Windows 7-systemen en het remote desktop protocol (RDP). "Aanvallers maken vaak gebruik van verkeerd geconfigureerde of slecht beveiligde RDP-toegang voor het uitvoeren van aanvallen", aldus de FBI. De dienst geeft vervolgens verschillende adviezen voor het beveiligen van systemen. De aanval op de waterzuiveringsinstallatie had geen gevolgen voor de veiligheid van het drinkwater. Het onderzoek is nog gaande.

Image

Reacties (8)
11-02-2021, 10:09 door Anoniem
Alle werkstations van de aangevallen waterzuiveringsinstallatie waren op het getroffen beheersysteem aangesloten en gebruikten een 32-bit versie van Windows 7. Daarnaast deelden alle computers hetzelfde wachtwoord voor remote toegang en waren zoals het nu lijkt zonder enige firewall direct vanaf het internet toegankelijk

En dan is misbruik van Teamviewer het risico? De IT aldaar is een bende, en daar kan geen goedbedoeld advies tegenop boksen. De onderliggende problemen liggen elders.
11-02-2021, 12:03 door Anoniem
en waren zoals het nu lijkt zonder enige firewall direct vanaf het internet toegankelijk
Dat is wel vreemd, want voor Teamviewer is het nou juist helemaal niet nodig dat systemen vanaf het internet toegankelijk zijn en dit is juist vaak een reden om Teamviewer te gebruiken.
Als je systemen toch al vanaf internet toegankelijk zijn dan kun je ook RDP of VNC gebruiken...
Een extra beveiliging daarbij kan natuurlijk geen kwaad.
11-02-2021, 12:05 door Anoniem
Door Anoniem:
Alle werkstations van de aangevallen waterzuiveringsinstallatie waren op het getroffen beheersysteem aangesloten en gebruikten een 32-bit versie van Windows 7. Daarnaast deelden alle computers hetzelfde wachtwoord voor remote toegang en waren zoals het nu lijkt zonder enige firewall direct vanaf het internet toegankelijk

En dan is misbruik van Teamviewer het risico? De IT aldaar is een bende, en daar kan geen goedbedoeld advies tegenop boksen. De onderliggende problemen liggen elders.
Komt in eerste instantie wat vreemd over ja, maar ergens klopt het toch wel.
Zelfs iets dat perfect functioneert, kan worden misbruikt.
Men kan best waarschuwen voor dit mogelijke misbruik, ook al is het niet de hoofdoorzaak van de ellende.
11-02-2021, 14:49 door Anoniem
Door Anoniem: Dat is wel vreemd, want voor Teamviewer is het nou juist helemaal niet nodig dat systemen vanaf het internet toegankelijk zijn en dit is juist vaak een reden om Teamviewer te gebruiken.
Misschien mis ik iets, maar hoe kan je een systeem remote benaderen als het niet remote benaderbaar is?

Benader je Teamviewer dan via iets anders dan het internet of hanteer je een andere definitie voor het woord toegankelijk dan ik doe?
13-02-2021, 10:05 door Anoniem
TeamViewer heeft een uitgaande connectie open naar de TeamViewer servers vanaf de werkplek die je wil beheren. De firewall hoeft dus niet open te staan voor inkomende connecties. RDS oplossingen hebben wel open poorten voor inkomend verkeer nodig. Daarom zien beheerders TeamViewer soms als een betere oplossing.

TeamViewer kan gebruikt worden met one time passwords. Iemand op locatie moet dan het wachtwoord om aan te melden doorgeven. Hier ging het om een waterzuivering waar vermoedelijk niet altijd iemand op locatie aanwezig is. In TeamViewer kun je dan een vast wachtwoord instellen om connectie te maken. Maar als een bedrijf dan op alle pc’s hetzelfde wachtwoord gebruikt en als er meerdere medewerkers zijn die het wachtwoord kennen dan creëer je wel een groot beveiligingsprobleem. Zeker als na verloop van tijd ook mensen het wachtwoord kennen die niet meer voor jouw bedrijf werken, bijvoorbeeld na personeelswissels of na inzet van externe consultants.

Het lijkt erop dat de FBI waarschuwing niet gericht is op onveilige software maar op onveilige processen en fout beheer. Maar ik heb het originele bericht nooit gelezen dus dat is een flinke aanname....
13-02-2021, 13:06 door Anoniem
Door Anoniem:
Door Anoniem: Dat is wel vreemd, want voor Teamviewer is het nou juist helemaal niet nodig dat systemen vanaf het internet toegankelijk zijn en dit is juist vaak een reden om Teamviewer te gebruiken.
Misschien mis ik iets, maar hoe kan je een systeem remote benaderen als het niet remote benaderbaar is?
Ja dan mis je inderdaad iets. De ontwikkelingen van het laatste decennium, waarin directe peer-to-peer connecties vervangen zijn door "cloud services" die door alle devices geconnect worden en die de verzoeken als een man-in-the-middle doorgeven.
Zo werkt tegenwoordig zowat alles. Je hoeft dan niet remote benaderbaar te zijn, de cloud server is remote benaderbaar.
Handig hoor! Verdiep je er eens in. Het enige nadeel is dat de traditionele blik op een firewall (we blokkeren inkomende connecties dus zijn we veilg) hierdoor waardeloos wordt.
15-02-2021, 00:20 door Anoniem
Jongens ikke iets niet snappe hierin...
Wat heeft team viewer hiermee te maken als je al
op je systeem Win 7 draait ?? en al helemaal kers op de taart geen Firewall gebruikt ??
Waar ben je dan mee bezig ??
Als je geen geld hebt om je systeem te updaten gebruik dan een gratis versie van linux ??
ZIt ik nou helemaal verkeerd ???
01-03-2021, 11:07 door Anoniem
Een kritieke kwetsbaarheid in de Logix-controllers van fabrikant Rockwell Automation maakt het mogelijk voor aanvallers om op afstand toegang tot industriële systemen te krijgen. Het beveiligingslek, aangeduid als CVE-2021-22681, is op een schaal van 1 tot en met 10 wat betreft de impact met een 10 beoordeeld.

Kritiek lek in Logix-controllers voor fabrieken door hard-coded key
maandag 1 maart 2021, 10:50 door Redactie

https://www.security.nl/posting/692198/Kritiek+lek+in+Logix-controllers+voor+fabrieken+door+hard-coded+key
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.