Hof van Twente raakte door zwak wachtwoord besmet met ransomware
De criminelen die systemen van de gemeente Hof van Twente met ransomware wisten te infecteren konden dankzij het wachtwoord "Welkom2020" binnendringen. Dat blijkt uit onderzoek dat de gemeente naar de aanval liet uitvoeren en vandaag is gepubliceerd. Sinds 29 oktober 2019 was een FTP-server van de gemeente voor iedereen op het internet via RDP (remote desktop protocol) benaderbaar.
Door middel van een bruteforce-aanval wisten de aanvallers het wachtwoord van een "testadmin"-account te raden, namelijk "Welkom2020". Dit wachtwoord was op 15 oktober voor het account ingesteld. Het testadmin-account had de hoogste rechten binnen het netwerk van de gemeente. "Mede hierdoor konden de aanvallers zich direct vrij over het netwerk bewegen en malicieuze handelingen uitvoeren", zo stellen de onderzoekers.
De aanvallers gebruikten hun toegang in eerste instantie voor het installeren van software om spam mee te versturen. De firewall bleek dit echter te blokkeren. Op 30 november 2020 rond 22:00 uur begonnen de aanvallers met de ransomware-aanval door het versleutelen van systemen en het verwijderen van 89 virtuele servers. Tevens werd er zo'n 375MB aan data gestolen.
Volgens de onderzoekers had de gemeente meerdere maatregelen kunnen nemen om de aanval te voorkomen. "De FTP-server was toegankelijk vanaf het internet middels een open poort (RDP) – een aanvullende verificatie om in te kunnen loggen (tweefactor authenticatie) was niet ingericht", zo stellen ze. Hoewel het wachtwoord "Welkom2020" aan het wachtwoordbeleid van de gemeente voldeed is het volgens de onderzoekers een ongeschikt wachtwoord.
Daarnaast had het testadmin-account veel te hoge rechten en was het door onvoldoende netwerksegmentatie mogelijk om vanaf de FTP-server andere servers binnen het netwerk van de gemeente te benaderen. De gemeente had in juni 2020 wel een penetratietest door een securitybedrijf laten uitvoeren, maar daarbij zijn de kwetsbaarheden die de aanval mogelijk maakten, zoals de bereikbaarheid van de server vanaf het internet via RDP, niet gedetecteerd.
Verder hadden de aanvallers controle over de systemen waarop de back-ups stonden, waardoor ze die konden verwijderen. Ook werd er niet actief en centraal gemonitord op beveiligingsmeldingen, waardoor de bruteforce-aanval op de FTP-server niet werd ontdekt. "Voor het voorkomen van incidenten in de toekomst is het van belang dat er een aantal basismaatregelen op het gebied van architectuur, beheer, detectie, preventie en respons worden toegepast", aldus NFIR, dat het onderzoek naar de aanval uitvoerde.
"Het voldoen aan eisen is niet genoeg. Criminelen zijn altijd vindingrijker. Op papier dachten we voldoende beveiligd te zijn, maar de praktijk bleek anders. Dat is een stevige les voor ons, en naar ik hoop een wake-up call voor andere organisaties", zo laat burgemeester Ellen Nauta in een reactie op het onderzoek weten. De gemeente heeft het losgeld dat de aanvallers eisten niet betaald.
Reacties (46)
16-03-2021, 16:12 door
Anoniem
Misschien kan nog even iemand uitleggen hoe "een FTP server via RDP bereikbaar" is?
Dat kan wellicht ook nog wat mensen helpen die denken dat hun netwerk goed beveiligd is.
(ik bedoel natuurlijk niet "inloggen met RDP en dan een FTP starten" want dan moet je credentials voor die RDP login hebben en dat wordt niet vermeld)
Wordt er bedoeld dat de beheerder dacht dat een FTP server (normaal poort 21) op de standaard RDP poort 3389 draaien een idee was om iets te beveiligen of juist een beveiliging (firewall) te omzeilen?
Of is RDP als protocol hier daadwerkelijk bij betrokken?
Dat kan wellicht ook nog wat mensen helpen die denken dat hun netwerk goed beveiligd is.
(ik bedoel natuurlijk niet "inloggen met RDP en dan een FTP starten" want dan moet je credentials voor die RDP login hebben en dat wordt niet vermeld)
Wordt er bedoeld dat de beheerder dacht dat een FTP server (normaal poort 21) op de standaard RDP poort 3389 draaien een idee was om iets te beveiligen of juist een beveiliging (firewall) te omzeilen?
Of is RDP als protocol hier daadwerkelijk bij betrokken?
16-03-2021, 16:16 door
Anoniem
Een externe partij heeft een pentest gedaan en het zwakke wachtwoord gemist, de te hoge rechten gemist.
Mag ik de naam van die partij weten, juist HIEROM laat je pentesten uitvoeren.
Mag ik de naam van die partij weten, juist HIEROM laat je pentesten uitvoeren.
16-03-2021, 16:18 door
Anoniem
Uitermate dom natuurlijk maar ik kan het nu niet bepaald ook slim noemen om deze versie van de rapportage naar buiten te brengen en ook nog de werkelijke gebruikers naam en het werkelijke wachtwoord te vermelden.
Gezien het mogelijk iets zegt over andere diensten. Want hoe groot is de kans dat er ergens nu obscuur nog misschien een account op iets van hun draait met Welkom2000 bijvoorbeeld. De zin voor de publiekelijke publicatie hadden ze net zo goed een zwakwachtwoord van kunnen maken.
Alsof het document bevat nog het kenmerk Classificatie: Vertrouwelijk
Hebben ze nu werkelijk een datalek gemaakt met het rapport over het eerdere datalek?
Dit kan toch niet waar zijn?
Gezien het mogelijk iets zegt over andere diensten. Want hoe groot is de kans dat er ergens nu obscuur nog misschien een account op iets van hun draait met Welkom2000 bijvoorbeeld. De zin voor de publiekelijke publicatie hadden ze net zo goed een zwakwachtwoord van kunnen maken.
Alsof het document bevat nog het kenmerk Classificatie: Vertrouwelijk
Hebben ze nu werkelijk een datalek gemaakt met het rapport over het eerdere datalek?
Dit kan toch niet waar zijn?
16-03-2021, 16:19 door
Anoniem
Gelukkig hebben ze inmiddels het paswoord aangepast
Naar Welkom2021
Naar Welkom2021
16-03-2021, 16:33 door
Anoniem
Door Anoniem: Misschien kan nog even iemand uitleggen hoe "een FTP server via RDP bereikbaar" is?
Dat kan wellicht ook nog wat mensen helpen die denken dat hun netwerk goed beveiligd is.
(ik bedoel natuurlijk niet "inloggen met RDP en dan een FTP starten" want dan moet je credentials voor die RDP login hebben en dat wordt niet vermeld)
Wordt er bedoeld dat de beheerder dacht dat een FTP server (normaal poort 21) op de standaard RDP poort 3389 draaien een idee was om iets te beveiligen of juist een beveiliging (firewall) te omzeilen?
Of is RDP als protocol hier daadwerkelijk bij betrokken?
Dat kan wellicht ook nog wat mensen helpen die denken dat hun netwerk goed beveiligd is.
(ik bedoel natuurlijk niet "inloggen met RDP en dan een FTP starten" want dan moet je credentials voor die RDP login hebben en dat wordt niet vermeld)
Wordt er bedoeld dat de beheerder dacht dat een FTP server (normaal poort 21) op de standaard RDP poort 3389 draaien een idee was om iets te beveiligen of juist een beveiliging (firewall) te omzeilen?
Of is RDP als protocol hier daadwerkelijk bij betrokken?
Ik zit de persco van de gemeente te bekijken en dan val ik in verbazing bij de uitleg van expert Brenno de Winter (die van zijn eigen lekke mailserver). Hij gooit FTP en RDP doorelkaar of het benzine en elektriciteit is.
16-03-2021, 16:37 door
Anoniem
Ligt ook aan de scope van de pentest, is wat makkelijk om het security bedrijf dan te benoemen. Goed dat ze dat niet hebben gedaan. Wat ik wonderlijk vind, is dat het wachtwoord aan het wachtwoordbeleid voldoet? Wie maakt er tegenwoordig nog gebruik van wachtwoorden. Zijn wachtwoordzinnen niet meer van deze tijd? En netwerkscheiding, je zou denken dat veel bedrijven dit op orde hebben. Toegegeven, bij ons is het ook nog niet zo lang geleden doorgevoerd. Wijsheid komt met de jaren denk ik, of na een incident. :(
16-03-2021, 17:06 door
De baard
Door Anoniem: Een externe partij heeft een pentest gedaan en het zwakke wachtwoord gemist, de te hoge rechten gemist.
Ze hebben het gemist omdat ze dit niet wisten:
De gemeente liet vorig jaar wel testen of hackers eenvoudig binnen konden komen, maar bij die test werd één IP-adres niet meegenomen. Juist dat adres is door de hackers gebruikt om de systemen van Hof van Twente binnen te dringen.
Uit https://nos.nl/artikel/2372868-hack-bij-gemeente-hof-van-twente-veroorzaakt-door-te-simpel-wachtwoord.html
16-03-2021, 17:10 door
Anoniem
tja met 'welkom' in het ww vraag je er ook wel om... ze hadden 'blijfweg2020' moeten gebruiken natuurlijk!
16-03-2021, 17:15 door
Anoniem
Door Anoniem:
Ik zit de persco van de gemeente te bekijken en dan val ik in verbazing bij de uitleg van expert Brenno de Winter (die van zijn eigen lekke mailserver). Hij gooit FTP en RDP doorelkaar of het benzine en elektriciteit is.
In het rapport staat dat de FTP server toegankelijk was gemaakt voor het internet. Deze server was ook toegankelijk via RDP (blijkbaar was het een windows server). Dus niet op protocol gefiilterd! Ongelooflijk dom em naïef.Door Anoniem: Misschien kan nog even iemand uitleggen hoe "een FTP server via RDP bereikbaar" is?
Dat kan wellicht ook nog wat mensen helpen die denken dat hun netwerk goed beveiligd is.
(ik bedoel natuurlijk niet "inloggen met RDP en dan een FTP starten" want dan moet je credentials voor die RDP login hebben en dat wordt niet vermeld)
Wordt er bedoeld dat de beheerder dacht dat een FTP server (normaal poort 21) op de standaard RDP poort 3389 draaien een idee was om iets te beveiligen of juist een beveiliging (firewall) te omzeilen?
Of is RDP als protocol hier daadwerkelijk bij betrokken?
Dat kan wellicht ook nog wat mensen helpen die denken dat hun netwerk goed beveiligd is.
(ik bedoel natuurlijk niet "inloggen met RDP en dan een FTP starten" want dan moet je credentials voor die RDP login hebben en dat wordt niet vermeld)
Wordt er bedoeld dat de beheerder dacht dat een FTP server (normaal poort 21) op de standaard RDP poort 3389 draaien een idee was om iets te beveiligen of juist een beveiliging (firewall) te omzeilen?
Of is RDP als protocol hier daadwerkelijk bij betrokken?
Ik zit de persco van de gemeente te bekijken en dan val ik in verbazing bij de uitleg van expert Brenno de Winter (die van zijn eigen lekke mailserver). Hij gooit FTP en RDP doorelkaar of het benzine en elektriciteit is.
16-03-2021, 17:17 door
Anoniem
Op https://nos.nl/artikel/2372868-hack-bij-gemeente-hof-van-twente-veroorzaakt-door-te-simpel-wachtwoord.html staat dat er 50.000 tot 100.000 aanvallen waren per dag.
Nu ging ik even piekeren bij mijzelf. Ik heb zelf hier en daar nog wat alfanumerieke wachtwoorden van 8 tekens die ik niet graag allemaal ga veranderen. Dus hoeveel zou 100.000 brute force inlogpogingen per dag zijn? Het lijkt heel veel.
Nou. [A..Z][a..z][0..9] is 62 tekens opgeteld. Hiervan 8 is 62^8 combinaties. Gedeeld door 100.000 per dag. Gedeeld door 365 dagen is 6 miljoen jaren om de hele zoekruimte te proberen.
Dus die wachtwoorden van mij zijn nog wel veilig voor de rest van mijn leven. Sterker nog, er zullen mensen komen met de oplossing om te verplichten de wachtwoorden elke maand te wijzigen of meer symbolen te gebruiken. Dat is allemaal niet nodig :-) Het verplichten wachtwoorden te onthouden en vaak te wijzigen is juist wat leidt tot dit soort wachtwoordproblemen.
Als een aanvaller toegang heeft tot de wachtwoordhashes of zelfs plaintext wachtwoorden... dan is het een ander verhaal.
Nu ging ik even piekeren bij mijzelf. Ik heb zelf hier en daar nog wat alfanumerieke wachtwoorden van 8 tekens die ik niet graag allemaal ga veranderen. Dus hoeveel zou 100.000 brute force inlogpogingen per dag zijn? Het lijkt heel veel.
Nou. [A..Z][a..z][0..9] is 62 tekens opgeteld. Hiervan 8 is 62^8 combinaties. Gedeeld door 100.000 per dag. Gedeeld door 365 dagen is 6 miljoen jaren om de hele zoekruimte te proberen.
Dus die wachtwoorden van mij zijn nog wel veilig voor de rest van mijn leven. Sterker nog, er zullen mensen komen met de oplossing om te verplichten de wachtwoorden elke maand te wijzigen of meer symbolen te gebruiken. Dat is allemaal niet nodig :-) Het verplichten wachtwoorden te onthouden en vaak te wijzigen is juist wat leidt tot dit soort wachtwoordproblemen.
Als een aanvaller toegang heeft tot de wachtwoordhashes of zelfs plaintext wachtwoorden... dan is het een ander verhaal.
16-03-2021, 17:29 door
Anoniem
Tja bij de overheid zou 2-tweestapsverificatie op ale systemen verplicht moeten zijn dan vang je voor een groot deel zwakke wachtwoorden al op. Plus zaken als account beveiliging tegen te veel inlogpogingen. En wie gebruikt er nog FTP.
16-03-2021, 17:30 door
Anoniem
Op papier dachten we voldoende beveiligd te zijn, maar de praktijk bleek anders.
Zelfs op papier waren ze niet eens voldoende beveiligd. Maar hoe leg je dat aan ambtenaren uit die niets van beveiliging weten?
16-03-2021, 17:38 door
Anoniem
Door Anoniem: Misschien kan nog even iemand uitleggen hoe "een FTP server via RDP bereikbaar" is?
Dat kan wellicht ook nog wat mensen helpen die denken dat hun netwerk goed beveiligd is.
(ik bedoel natuurlijk niet "inloggen met RDP en dan een FTP starten" want dan moet je credentials voor die RDP login hebben en dat wordt niet vermeld)
Wordt er bedoeld dat de beheerder dacht dat een FTP server (normaal poort 21) op de standaard RDP poort 3389 draaien een idee was om iets te beveiligen of juist een beveiliging (firewall) te omzeilen?
Of is RDP als protocol hier daadwerkelijk bij betrokken?
Dat kan wellicht ook nog wat mensen helpen die denken dat hun netwerk goed beveiligd is.
(ik bedoel natuurlijk niet "inloggen met RDP en dan een FTP starten" want dan moet je credentials voor die RDP login hebben en dat wordt niet vermeld)
Wordt er bedoeld dat de beheerder dacht dat een FTP server (normaal poort 21) op de standaard RDP poort 3389 draaien een idee was om iets te beveiligen of juist een beveiliging (firewall) te omzeilen?
Of is RDP als protocol hier daadwerkelijk bij betrokken?
*Op* de FTP server stond ook RDP aan. En in de firewall was RDP vanaf het Internet opengezet.
16-03-2021, 17:41 door
Anoniem
Vooral heel ergerlijk om te zien hoe men wegduikt voor de verantwoordelijkheid.
"Dit had elke organisatie kunnen overkomen." zegt de burgemeester letterlijk.
Ja, elke organisatie die zijn zaken zo dramatisch slecht op orde had, ja.
"Dit had elke organisatie kunnen overkomen." zegt de burgemeester letterlijk.
Ja, elke organisatie die zijn zaken zo dramatisch slecht op orde had, ja.
16-03-2021, 17:50 door
Anoniem
Door Anoniem:
*Op* de FTP server stond ook RDP aan. En in de firewall was RDP vanaf het Internet opengezet.
*Op* de FTP server stond ook RDP aan. En in de firewall was RDP vanaf het Internet opengezet.
Men is dus via RDP binnen gedrongen en toevallig was dat ding ook FTP server maak het dan niet lastiger en laat het FTP stuk weg als het niet relevant is voor de feitelijke inbraak.
Mischien komt Brenno hier nog wel met een reactie, ik weet dat hij hier vroeger nog wel eens langs kwam.
16-03-2021, 17:59 door
Anoniem
Sinds 29 oktober 2019 was een FTP-server van de gemeente voor iedereen op het internet via RDP (remote desktop protocol) benaderbaar.
1995 belde, ze willen hun configuratie terug!
16-03-2021, 18:19 door
spatieman
sorry, maar ik hield het niet meer van het lachen...
leedvermaak puur dit.
leedvermaak puur dit.
16-03-2021, 18:20 door
Briolet
Door Anoniem: Een externe partij heeft een pentest gedaan en het zwakke wachtwoord gemist….
Heb je het stuk hierboven wel gelezen? Blijkbaar hij jij gemist dat dat wachtwoord aangemaakt is nádat de pentest uitgevoerd is.
16-03-2021, 19:02 door
Anoniem
Door Briolet:
Heb je het stuk hierboven wel gelezen? Blijkbaar hij jij gemist dat dat wachtwoord aangemaakt is nádat de pentest uitgevoerd is.
Door Anoniem: Een externe partij heeft een pentest gedaan en het zwakke wachtwoord gemist….
Heb je het stuk hierboven wel gelezen? Blijkbaar hij jij gemist dat dat wachtwoord aangemaakt is nádat de pentest uitgevoerd is.
De fuck is dat artikelen aangepast worden reactie 16:16 aanpassing 16:22.
16-03-2021, 19:18 door
Anoniem
In het vernietigende rapport over hack Hof van Twente staat ook dat het contact dat een journalist van de Volkskrant (hi
@huibmodderkolk ) legde met de hackers, het onderzoek bemoeilijkte en de hoogte van het losgeld op dreef. https://bit.ly/38KXmZ0
@huibmodderkolk ) legde met de hackers, het onderzoek bemoeilijkte en de hoogte van het losgeld op dreef. https://bit.ly/38KXmZ0
16-03-2021, 19:38 door
Anoniem
Door Anoniem: Tja bij de overheid zou 2-tweestapsverificatie op ale systemen verplicht moeten zijn dan vang je voor een groot deel zwakke wachtwoorden al op. Plus zaken als account beveiliging tegen te veel inlogpogingen. En wie gebruikt er nog FTP.
Je weet dat die stelregel natuurlijk niet zondermeer opgaat.
Het gaat er ten eerste bij de poging natuurlijk om vanaf hoe diep in het systeem die aanval wordt geactiveerd, hoe diep in het systeem die 2-factor verificatie (volgens mij bedoel je dat) is geborgd en op zijn beurt weer kan worden omzeild en bevestiging van inlogpogingen kan worden omzeild en/of ondermijnd.
Meerdere gemeentes maken al jarenlang gebruik van combinatie van vrij gangbare geavanceerdere IT-oplossingen.
Maar ftp daarbij aantakken is misschien niet het allerslimste.
Kijk je verder naar gebruik van zwakke wachtwoorden dan is naïviteit wel een factor.
Daar valt met meer technische maatregelen ook niet goed tegenaan te boksen.
Naïviteit blijkt keer op keer in een cascade van flits-hack en phishing momenten je hele netwerk volledig op het spel te zetten.
Je legt ook niet de sleutel van het stadhuis overdag voor de ingang op het bordes neer met de gedachte die wordt vast niet ontdekt terwijl het stadhuis dan gewoon in bedrijf (open) is en er dus in principe mensen langs kunnen komen .
16-03-2021, 21:34 door
Anoniem
Hebben ze de stagiair al gevonden? Net zoals bij Solarwinds was het gerelateerd aan FTP, dat leren ze zo nog op school.
16-03-2021, 22:18 door
Anoniem
Door Anoniem: Een externe partij heeft een pentest gedaan en het zwakke wachtwoord gemist, de te hoge rechten gemist.
Mag ik de naam van die partij weten, juist HIEROM laat je pentesten uitvoeren.
Mag ik de naam van die partij weten, juist HIEROM laat je pentesten uitvoeren.
Dit is natuurlijk onzin, de scope van de pentest bevat de informatie over de uit te voeren test, diepgang, soort test, IP-nummers etc, als je dan een IP nummer niet noemt, dan kan een ander ook niet raden welke van de nederlandse IP nummers misschien ook nog meegenomen moest worden. Als je dit niet weet kom je ook niet achter de andere zaken, je kunt beter eerst vragen, wat was de opdracht... just my 2 cents
Juist hierom slaat nergens op
17-03-2021, 07:06 door
karma4
Door Anoniem: Een externe partij heeft een pentest gedaan en het zwakke wachtwoord gemist, de te hoge rechten gemist. Mag ik de naam van die partij weten, juist HIEROM laat je pentesten uitvoeren.
Die naam zwerft al rond. De misvatting dat je met pentesten alle goed hebt is een heel verkeerde Nee pentesten zijn geen uitputtend onderzoek naar elke kwetsbaarheid.
Het is op zijn best een steekproef, een steekproef uitgevoerd met tools naar de bekende voorkomende fouten.
Wat je hier leest is een FTP server die deed wat het moest doen. Alleen de concepten van het hoe en waarom een DMZ gebruiken met de afscherming van verkeer binnen naar buiten zijn zo te zien volledige gemist.
Het zou zo maar een directiebesluit kunnen zijn, het werkt zo en is veel goedkoper dan als dat moeilijke gedoe.
Nou, dat het goedkoper zou zijn is, dat heeft nu een andere uitkomst. Hopelijk gaat dat op die wijze geboekt worden.
17-03-2021, 07:55 door
Anoniem
Heel waarschijnlijk heeft iemand het niet voor elkaargekregen om de sFTP server juist te natten in de firewall. Om dit goed werkend te krijgen moet je firewall "begrijpen" op welke poorten het data verkeer wordt aangeboden en deze poorten dynamisch openzetten.Dus alleen poort 21 openzetten werkt niet.
In plaats daarvan is er waarschijnlijk een 1 op 1 NAT gemaakt van de interne Windows 2016 FTP server. Waardoor feitelijk de interne FTP server rechtstreeks publiek op internet staat. Dan werkt je SFTP vanaf buiten. Maar daardoor waren alle diensten van deze FTP server publiek te benaderen. Dus buiten FTP ook SMB en windows remote management protocollen.
(Deze zeer waarschijnlijke aanname is op basis van publiek verkrijgbare shodan informatie)
En dan heb je alleen nog en zwak wachtwoord nodig of een bekende lek in RDP of SMB en je bent binnen als hacker
In plaats daarvan is er waarschijnlijk een 1 op 1 NAT gemaakt van de interne Windows 2016 FTP server. Waardoor feitelijk de interne FTP server rechtstreeks publiek op internet staat. Dan werkt je SFTP vanaf buiten. Maar daardoor waren alle diensten van deze FTP server publiek te benaderen. Dus buiten FTP ook SMB en windows remote management protocollen.
(Deze zeer waarschijnlijke aanname is op basis van publiek verkrijgbare shodan informatie)
En dan heb je alleen nog en zwak wachtwoord nodig of een bekende lek in RDP of SMB en je bent binnen als hacker
17-03-2021, 08:22 door
Anoniem
Door Anoniem: Een externe partij heeft een pentest gedaan en het zwakke wachtwoord gemist, de te hoge rechten gemist.
Mag ik de naam van die partij weten, juist HIEROM laat je pentesten uitvoeren.
Bij een pentest geef je een specifieke scope op. Je zegt niet tegen een dergelijke club "ga maar rondstruinen," dan zijn ze namelijk na een maand nog niet klaar (en het budget voor een dergelijke test al wel in veelvoud overschreden). Je geeft aan "hier en hier moeten jullie naar kijken, dat is waar onze zorgen zitten." Als een pentester dit niet in scope (of expliciet buiten scope) heeft gehad, dan kan je het hem/haar lastig aanrekenen.Mag ik de naam van die partij weten, juist HIEROM laat je pentesten uitvoeren.
17-03-2021, 08:35 door
Anoniem
Door Anoniem: En wie gebruikt er nog FTP.
de politie?
17-03-2021, 08:38 door
Anoniem
De systeembeheerder zal wel op een andere afdeling weggepromoveerd worden. Want dat
doen ze bij de gemeente. ICT niet echt iets voor jou heh Pietertje. Kom maar efkes
wisselen.
doen ze bij de gemeente. ICT niet echt iets voor jou heh Pietertje. Kom maar efkes
wisselen.
17-03-2021, 08:47 door
Anoniem
Sinds 29 oktober 2019 was een FTP-server van de gemeente voor iedereen op het internet via RDP (remote desktop protocol) benaderbaar.
Door middel van een bruteforce-aanval wisten de aanvallers het wachtwoord van een "testadmin"-account te raden, namelijk "Welkom2020". Dit wachtwoord was op 15 oktober voor het account ingesteld. Het testadmin-account had de hoogste rechten binnen het netwerk van de gemeente.
Door middel van een bruteforce-aanval wisten de aanvallers het wachtwoord van een "testadmin"-account te raden, namelijk "Welkom2020". Dit wachtwoord was op 15 oktober voor het account ingesteld. Het testadmin-account had de hoogste rechten binnen het netwerk van de gemeente.
Dus samenvattend:
Een test (admin) account had de hoogste rechten voor het hele netwerk (ook voor de productie-kant van OTAP) en kon benaderd worden vanaf een FTP server die weer open stond mbv RDP (zonder 2FA) voor binnenkomende verkeer vanaf het internet.
Is dit een nieuwe vorm van systeem-beheer op afstand?
17-03-2021, 09:06 door
Anoniem
Door Anoniem: Tja bij de overheid zou 2-tweestapsverificatie op ale systemen verplicht moeten zijn dan vang je voor een groot deel zwakke wachtwoorden al op. Plus zaken als account beveiliging tegen te veel inlogpogingen. En wie gebruikt er nog FTP.
multi-factor authenticatie is al heel lang verplicht bij de overheid (zit al lang in de BIR/BIO/BIG eisen).
Maar net als bij zoveel commerciele organisaties loopt de praktijk ernstig achter bij wat er eigenlijk zou moeten gebeuren.
Veel teveel oude spullen, IT & security zijn een IT-probleem gemaakt (in plaats van een business-probleem), veel te weinig aandacht voor beveiliging.
"Meer" verplichten zal niet uitmaken.
Eindgebruikers en managers (zoals de burgermeester in dit geval) overtuigen van nut en noodzaak zal hopelijk meer effect hebben.
17-03-2021, 09:37 door
Anoniem
Lezen is voor sommigen een kunst:
* De server die FTP host kan ook prima bereikbaar zijn via RDP
* account/pw is aangemaakt na pen-test
* De server die FTP host kan ook prima bereikbaar zijn via RDP
* account/pw is aangemaakt na pen-test
17-03-2021, 09:47 door
Anoniem
Door Anoniem: Een externe partij heeft een pentest gedaan en het zwakke wachtwoord gemist, de te hoge rechten gemist.
Mag ik de naam van die partij weten, juist HIEROM laat je pentesten uitvoeren.
Mag ik de naam van die partij weten, juist HIEROM laat je pentesten uitvoeren.
Een pentest kan de onveiligheid van een omgeving aantonen, maar eigenlijk nooit de veiligheid. Aannemen dat een pentest alles zal vinden is dan ook naïef.
17-03-2021, 10:07 door
Anoniem
Een externe partij heeft een pentest gedaan en het zwakke wachtwoord gemist, de te hoge rechten gemist.
Mag ik de naam van die partij weten, juist HIEROM laat je pentesten uitvoeren.
Mag ik de naam van die partij weten, juist HIEROM laat je pentesten uitvoeren.
En wat dan ? Ken je ook de scope, van de desbetreffende pentest ? Zou de Gemeente zelf verder niet moeten werken aan een security control framework, om te zorgen dat het kiezen van bijvoorbeeld zwakke wachtwoorden niet mogelijk is ?
Idem, met betrekking tot het uitvoeren van een bruteforce aanval op de FTP server (hopelijk sFTP?), geen controle t.b.v. maximum aantal pogingen, om dergelijke basale aanvallen te voorkomen ? Account lockout ? IP ban ?
Zonder verdere details van de scope en findings m.b.t. zo'n pendelt vind ik het trappen naar een externe partij nogal gemakkelijk. Verder kunnen zij, gezien non disclosure, niet reageren.
P.s. pentesters kunnen je ondersteunen, maar je blijft altijd zelf verantwoordelijk voor de cyberveiligheid, van je organisatie.
17-03-2021, 10:31 door
Anoniem
Door Anoniem:Een pentest kan de onveiligheid van een omgeving aantonen, maar eigenlijk nooit de veiligheid. Aannemen dat een pentest alles zal vinden is dan ook naïef.
Het Diginotar gevoel: "We hebben alle papiertjes, maar zijn zo lek als een mandje."
17-03-2021, 11:06 door
Anoniem
Het is super verwarrend maar de server heet “ftp-server”. Hij had net zo goed “welkom-server” kunnen heten
Omdat je dit leest als ftp server (spatie) lijkt het alsof ze ftp en rdp door elkaar gooien, dat is niet zo.
Grote kans dat alleen rdp naar buiten open stond en de server alleen intern een ftp rol had
Lekker verwarrend
Omdat je dit leest als ftp server (spatie) lijkt het alsof ze ftp en rdp door elkaar gooien, dat is niet zo.
Grote kans dat alleen rdp naar buiten open stond en de server alleen intern een ftp rol had
Lekker verwarrend
17-03-2021, 11:07 door
Anoniem
Door Anoniem: En wat dan ? Ken je ook de scope, van de desbetreffende pentest ? Zou de Gemeente zelf verder niet moeten werken aan een security control framework, om te zorgen dat het kiezen van bijvoorbeeld zwakke wachtwoorden niet mogelijk is ?
Ik vind het best een goed wachtwoord dat gebruikt werd. 10 tekens lang, een combinatie van hoofdletter(s), kleine letters en cijfers. Dat is best goed. Je zou kunnen eisen dat er meer hoofdletters in moeten maar verder is het best goed.
Maar het is ook een enkel woord uit een Nederlands woordenboek met daaraan vast een jaartal geplakt, hoe herken je dat met software? Je kan moeilijk een mens inhuren die alle wachtwoorden kan inzien of ze sterk of zwak zijn. Vooral op een test systeem (met blijkbaar echte data erop).
Is dit een zwak wachtwoord? "Izrjxw8971"
Waarom "Welkom2020" dan wel? Het heeft precies dezelfde opbouw.
17-03-2021, 11:12 door
Anoniem
Door Anoniem: Een externe partij heeft een pentest gedaan en het zwakke wachtwoord gemist, de te hoge rechten gemist.
Mag ik de naam van die partij weten, juist HIEROM laat je pentesten uitvoeren.
Te kort door de bocht om te suggereren dat deze partij zijn/haar werk niet goed heeft gedaan. Je moet de scope van de opdracht kennen alvorens je kan oordelen of deze partij zijn/haar werk wel of niet goed heeft gedaan.Mag ik de naam van die partij weten, juist HIEROM laat je pentesten uitvoeren.
17-03-2021, 11:17 door
Anoniem
Door Anoniem: In het vernietigende rapport over hack Hof van Twente staat ook dat het contact dat een journalist van de Volkskrant (hi
@huibmodderkolk ) legde met de hackers, het onderzoek bemoeilijkte en de hoogte van het losgeld op dreef. https://bit.ly/38KXmZ0
Als ik me goed herinner, heeft de Volkskrant eerst contact met Hof van Twente gezocht en die wilde op dat moment weinig kwijt. Een journalist gaat dan verder graven, dat is zijn werk...@huibmodderkolk ) legde met de hackers, het onderzoek bemoeilijkte en de hoogte van het losgeld op dreef. https://bit.ly/38KXmZ0
17-03-2021, 12:52 door
Anoniem
Door Anoniem:
Ik vind het best een goed wachtwoord dat gebruikt werd. 10 tekens lang, een combinatie van hoofdletter(s), kleine letters en cijfers. Dat is best goed. Je zou kunnen eisen dat er meer hoofdletters in moeten maar verder is het best goed.
Maar het is ook een enkel woord uit een Nederlands woordenboek met daaraan vast een jaartal geplakt, hoe herken je dat met software? Je kan moeilijk een mens inhuren die alle wachtwoorden kan inzien of ze sterk of zwak zijn. Vooral op een test systeem (met blijkbaar echte data erop).
Is dit een zwak wachtwoord? "Izrjxw8971"
Waarom "Welkom2020" dan wel? Het heeft precies dezelfde opbouw.
Ik vind het best een goed wachtwoord dat gebruikt werd. 10 tekens lang, een combinatie van hoofdletter(s), kleine letters en cijfers. Dat is best goed. Je zou kunnen eisen dat er meer hoofdletters in moeten maar verder is het best goed.
Maar het is ook een enkel woord uit een Nederlands woordenboek met daaraan vast een jaartal geplakt, hoe herken je dat met software? Je kan moeilijk een mens inhuren die alle wachtwoorden kan inzien of ze sterk of zwak zijn. Vooral op een test systeem (met blijkbaar echte data erop).
Is dit een zwak wachtwoord? "Izrjxw8971"
Waarom "Welkom2020" dan wel? Het heeft precies dezelfde opbouw.
Zou het raar zijn om te denken dat er lijstjes bestaan van 'veelgebruikte wachtwoord patronen'?
en natuurlijk doe je een BruteForce aanval op basis van die veelgerbruikte patronen, omdat dat de kans van slagen nu eenmaal vergroot... tussen aaaaaaaa0000 en Welkom2020 zitten inderdaad wel wat mogelijkheden. Maar van welkom01 naar Welkom2020 ben je met 12.019 pogingen welk klaar..
17-03-2021, 13:12 door
Anoniem
Door Anoniem: Een externe partij heeft een pentest gedaan en het zwakke wachtwoord gemist, de te hoge rechten gemist.
Mag ik de naam van die partij weten, juist HIEROM laat je pentesten uitvoeren.
Kijk hier hebben we een papieren specialist weer ergens op een zolder kamertje.Mag ik de naam van die partij weten, juist HIEROM laat je pentesten uitvoeren.
Wie zegt dat dit een onderdeel wat van de pentest? Wat was de scope exact? Dan kan je er pas iets over vertellen.
Dit hoeft helemaal niet uit een pentest te komen, je maakt hier een paar hele goede "beste kapiteins staan aan wal" opmerkingen.
Je weet trouwens ook het verschil tussen pentest en een audit? Blijkbaar niet.
Door Anoniem:
In het rapport staat dat de FTP server toegankelijk was gemaakt voor het internet. Deze server was ook toegankelijk via RDP (blijkbaar was het een windows server). Dus niet op protocol gefiilterd! Ongelooflijk dom em naïef.
Waar lees je dat precies, dat er niet op protocol gefilterd was?In het rapport staat dat de FTP server toegankelijk was gemaakt voor het internet. Deze server was ook toegankelijk via RDP (blijkbaar was het een windows server). Dus niet op protocol gefiilterd! Ongelooflijk dom em naïef.
17-03-2021, 13:51 door
Anoniem
De onderzoeksrapporten kunnen hier worden gedownload:
https://www.hofvantwente.nl/actueel/nieuws-en-persberichten/nieuwsbericht/archief/2021/03/artikel/hof-van-twente-cyber-hack-stevige-les-voor-ons-1872
Goed voorbeeld, het rapport van FoxIT over de Clop-ransomware aanval op de Universiteit van Maastricht, doet goed volgen. Daarvoor complimenten!
https://www.hofvantwente.nl/actueel/nieuws-en-persberichten/nieuwsbericht/archief/2021/03/artikel/hof-van-twente-cyber-hack-stevige-les-voor-ons-1872
Goed voorbeeld, het rapport van FoxIT over de Clop-ransomware aanval op de Universiteit van Maastricht, doet goed volgen. Daarvoor complimenten!
17-03-2021, 14:25 door
Anoniem
Door Anoniem:
Wie zegt dat dit een onderdeel wat van de pentest? Wat was de scope exact? Dan kan je er pas iets over vertellen.
Dit hoeft helemaal niet uit een pentest te komen, je maakt hier een paar hele goede "beste kapiteins staan aan wal" opmerkingen.
Je weet trouwens ook het verschil tussen pentest en een audit? Blijkbaar niet.
Dan zou het nog eens bewust expliciet zijn opengezet. Nog dommer. Windows kan je niet zo maar aan het internet hangen.Door Anoniem: Een externe partij heeft een pentest gedaan en het zwakke wachtwoord gemist, de te hoge rechten gemist.
Mag ik de naam van die partij weten, juist HIEROM laat je pentesten uitvoeren.
Kijk hier hebben we een papieren specialist weer ergens op een zolder kamertje.Mag ik de naam van die partij weten, juist HIEROM laat je pentesten uitvoeren.
Wie zegt dat dit een onderdeel wat van de pentest? Wat was de scope exact? Dan kan je er pas iets over vertellen.
Dit hoeft helemaal niet uit een pentest te komen, je maakt hier een paar hele goede "beste kapiteins staan aan wal" opmerkingen.
Je weet trouwens ook het verschil tussen pentest en een audit? Blijkbaar niet.
Door Anoniem:
In het rapport staat dat de FTP server toegankelijk was gemaakt voor het internet. Deze server was ook toegankelijk via RDP (blijkbaar was het een windows server). Dus niet op protocol gefiilterd! Ongelooflijk dom em naïef.
Waar lees je dat precies, dat er niet op protocol gefilterd was?In het rapport staat dat de FTP server toegankelijk was gemaakt voor het internet. Deze server was ook toegankelijk via RDP (blijkbaar was het een windows server). Dus niet op protocol gefiilterd! Ongelooflijk dom em naïef.
17-03-2021, 14:37 door
Anoniem
Door Anoniem:
Wie zegt dat dit een onderdeel wat van de pentest? Wat was de scope exact? Dan kan je er pas iets over vertellen.
Dit hoeft helemaal niet uit een pentest te komen, je maakt hier een paar hele goede "beste kapiteins staan aan wal" opmerkingen.
Je weet trouwens ook het verschil tussen pentest en een audit? Blijkbaar niet.
Omdat dat in het rapport van de Winter staat: het openzetten van de firewall voor al het internet verkeer.Door Anoniem: Een externe partij heeft een pentest gedaan en het zwakke wachtwoord gemist, de te hoge rechten gemist.
Mag ik de naam van die partij weten, juist HIEROM laat je pentesten uitvoeren.
Kijk hier hebben we een papieren specialist weer ergens op een zolder kamertje.Mag ik de naam van die partij weten, juist HIEROM laat je pentesten uitvoeren.
Wie zegt dat dit een onderdeel wat van de pentest? Wat was de scope exact? Dan kan je er pas iets over vertellen.
Dit hoeft helemaal niet uit een pentest te komen, je maakt hier een paar hele goede "beste kapiteins staan aan wal" opmerkingen.
Je weet trouwens ook het verschil tussen pentest en een audit? Blijkbaar niet.
Door Anoniem:
In het rapport staat dat de FTP server toegankelijk was gemaakt voor het internet. Deze server was ook toegankelijk via RDP (blijkbaar was het een windows server). Dus niet op protocol gefiilterd! Ongelooflijk dom em naïef.
Waar lees je dat precies, dat er niet op protocol gefilterd was?In het rapport staat dat de FTP server toegankelijk was gemaakt voor het internet. Deze server was ook toegankelijk via RDP (blijkbaar was het een windows server). Dus niet op protocol gefiilterd! Ongelooflijk dom em naïef.
If you pay peanuts, you get monkeys
17-03-2021, 16:32 door
Anoniem
Door Anoniem: Tja bij de overheid zou 2-tweestapsverificatie op ale systemen verplicht moeten zijn dan vang je voor een groot deel zwakke wachtwoorden al op. Plus zaken als account beveiliging tegen te veel inlogpogingen. En wie gebruikt er nog FTP.
ja want dat helpt zooo goed, behalve dan bij exchange servers zoals we nu weten...
kijk het is logisch dat simpele ww makkelijk via dictonaries ontdenkt worden en dat een 2e factor daar hulp tegen boed, maar je kun ook ene fatsoenlijke ww policy hebben die geen eenvoudige woorden of leet ofzo en extra tekens afdwingt.
dus laten we heel realistisch blijven, die Twente probleem had niet gehoeven, en is zeker ook geen voorbeeld dat 2FA alles op zal gaan lossen en de enige optie is.
17-03-2021, 20:32 door
Anoniem
100.000 brute force inlog pogingen zijn 67 pogingen per minuut de hele dag door.
Het is echter normaal om in een beveiligde omgeving na 3 mislukte inlog pogingen het account te blokkeren.
De gebruiker meldt dit bij de beheerder, die een eenmalig nieuw inlog password uitgeeft aan de gebruiker.
Bij de eerste inlog met het password moet de gebruiker aangeven welk nieuw nog nooit gebruikt password in het vervolg gebruikt zal worden. Hiermee wordt voorkomen, dat de beheerder aan de haal gaat met het gebruikers account.
Er zijn daar dus een paar dingen heel erg fout gegaan.
Het is echter normaal om in een beveiligde omgeving na 3 mislukte inlog pogingen het account te blokkeren.
De gebruiker meldt dit bij de beheerder, die een eenmalig nieuw inlog password uitgeeft aan de gebruiker.
Bij de eerste inlog met het password moet de gebruiker aangeven welk nieuw nog nooit gebruikt password in het vervolg gebruikt zal worden. Hiermee wordt voorkomen, dat de beheerder aan de haal gaat met het gebruikers account.
Er zijn daar dus een paar dingen heel erg fout gegaan.
20-03-2021, 00:42 door
Anoniem
Door Anoniem:
ja want dat helpt zooo goed, behalve dan bij exchange servers zoals we nu weten...
kijk het is logisch dat simpele ww makkelijk via dictonaries ontdenkt worden en dat een 2e factor daar hulp tegen boed, maar je kun ook ene fatsoenlijke ww policy hebben die geen eenvoudige woorden of leet ofzo en extra tekens afdwingt.
dus laten we heel realistisch blijven, die Twente probleem had niet gehoeven, en is zeker ook geen voorbeeld dat 2FA alles op zal gaan lossen en de enige optie is.
Door Anoniem: Tja bij de overheid zou 2-tweestapsverificatie op ale systemen verplicht moeten zijn dan vang je voor een groot deel zwakke wachtwoorden al op. Plus zaken als account beveiliging tegen te veel inlogpogingen. En wie gebruikt er nog FTP.
ja want dat helpt zooo goed, behalve dan bij exchange servers zoals we nu weten...
kijk het is logisch dat simpele ww makkelijk via dictonaries ontdenkt worden en dat een 2e factor daar hulp tegen boed, maar je kun ook ene fatsoenlijke ww policy hebben die geen eenvoudige woorden of leet ofzo en extra tekens afdwingt.
dus laten we heel realistisch blijven, die Twente probleem had niet gehoeven, en is zeker ook geen voorbeeld dat 2FA alles op zal gaan lossen en de enige optie is.
2FA was vanaf het begin al gedoemd te mislukken en alleen voor nog meer ellende zorgen.
Loop al zolang en mag me zelf wel een echte Hacker noemen, maar wel een ethische, die zijn beroep ervan gemaakt heeft en zelf iets van de grond af kan programmeren om binnen te dringen.
Vandaag de dag, is de kennis zeer ver te zoeken...alles wordt voorgekauwd op de wel bekende sites geplaatst, incl Instructies.
Het is nog wachten tot het bij IKEA in de schappen ligt of bij de Supermarkt...starterspakket...Deel 1: Hoe neem je de router van de buurman over....
Die kinderen heb ik ook wel eens op bezoek...als ze max. gevorderd zijn, komen ze niet verder dan je hardware aanpassen of gebruiken.
éénmaal binnen, onderscheppen ze zonder moeite via een scriptje je ingeven 2FA paswoorden, codes en sms en je krijgt van het scriptje een "FAKE" code, die je naar hartenlust gebruikt en een scriptje op je hardware, houdt al je muis bewegingen, keyboard aanslagen, bezochte websites e.d. en wordt bijgehouden in een tekst file en bij terug komst, kan deze opgehaald worden, dus alles is bekend en de niets vermoedende slachtoffer merkt niets, tenzij deze een beetje kennis heeft, de bekende sites bezoekt waar ingelogd moet worden en naar zijn activiteitenpagina gaat of het misschien ineens heel druk bezocht wordt en vooral alle w.w. zijn veranderd en de volle controle heeft.
Dan nog zal je je kunnen aanmelden en je ww veranderen, maar dan begint het weer van voor af aan.
En dat is nog maar één van duizenden trucjes die men gebruikt en op de wel bekende sites gewoon te downloaden zijn...
Een leek kan de was doen.
Soms krijg ik ook visite van de ventjes/meisjes en verwelkom ik ze met open poorten en volledige toegang, om hun vorderingen te zien...is al jaren hetzelfde...ze komen binnen en kunnen een paar dingen naar hun hand zetten...that's it.
En ineens breekt er paniek bij ze uit...zij gaan rechtdoor en vallen enorm op...ik draai er omheen en ineens...werkt helemaal niets meer....even een tekstberichtje op al hun hardware met scherm. met de melding...Denk na wat je een ander aan doet en deze dag zal je nooit meer vergeten...want kennis is macht...en alles gaat ineens i rook op.
Er is nu één partij die je de oplossing kan aanleveren en rolt het later ook uit voor de "concurrentie", iets waar ik jaren al op zat te wachten en geruime jaar gebruik van maak.
Het had al eerder uitgerold kunnen worden, maar wegens privacy enz....bla bla bla...het is er eindelijk voor iedereen.
Iemand een idee, wie het is en met wat?
Daarnaast hebben ze de welbekende sites op het matje geroepen en het was kiezen of delen.
Dus de kleuterschool is binnenkort gesloten....
Gelukkig heb en kon ik jaren gelden al afscheid nemen van de ICT wereld, want mijn "vakgenoten", hebben nu net zoveel kennis als die Netwerkbeheerder....wat erg!
Bij mij werd hij op staande voet ontslagen...Prutsers
.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
