Shadowserver detecteert 76.000 webshells op Exchange-servers
Er zijn zeker nog zo'n 76.000 webshells op gecompromitteerde Exchange-servers actief, een daling van de 283.000 webshells die twee weken geleden werden gedetecteerd, zo blijkt uit onderzoek van de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt.
Shadowserver voerde de afgelopen weken meerdere scans uit naar kwetsbare Exchange-servers. Twee weken geleden detecteerde de organisatie nog zo'n 283.000 unieke webshells op bijna 87.000 ip-adressen en 102.000 hostnames. Tijdens de laatste scan van gisterenavond bleek dat van de eerder waargenomen webshells er nog bijna 76.000 actief waren. Verspreid over 14.300 ip-adressen en bijna 17.000 hostnames.
De Exchange-servers zijn gecompromitteerd via verschillende kwetsbaarheden waarvoor Microsoft op 2 maart noodpatches uitbracht. Die beveiligingslekken werden echter al voor het uitkomen van de updates misbruikt. Aanvallers gebruikten de kwetsbaarheden voor het installeren van webshells. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Zo zijn de webshells onder andere gebruikt voor de installatie van ransomware op de gecompromitteerde servers.
Shadowserver deelt de data onder andere met opsporingsdiensten, internetproviders en 120 nationale computer security incident response teams in 148 landen. Zo kunnen deze partijen weer op hun beurt de getroffen organisaties benaderen.
Of bedoel je dat de beheerders (?) van die webshells maatregelen hebben genomen waardoor ze niet meer zichtbaar zijn voor de scanner van Shadowserver?
Je vraagt je dan af waarom die wrappers niet op al de gecompromiteerde servers zijn gezet zodat Shadowserver nul webshells zou hebben gevonden.
Je vraagt je dan af waarom die wrappers niet op al de gecompromiteerde servers zijn gezet zodat Shadowserver nul webshells zou hebben gevonden.
De webshell heeft een password, en wacht tot de boef binnenkomt.
Systeembeheerder patched, webshell blijft achter, boef loopt tegen de lamp, webshell blijft achter.
andere boef gaat webshell weer brute forcen, en Shadowserver detecteert, en rapporteert.
Of bedoel je dat de beheerders (?) van die webshells maatregelen hebben genomen waardoor ze niet meer zichtbaar zijn voor de scanner van Shadowserver?
Hij heeft het over tcpwrappers (vermoed ik). Hiermee kan je niet zien welke applicatie er achter een port hangt. TCPWrapping is een beveiliging op een applicatie (niet de port zelf) die de 3-way handshake afbreekt. Meestal een IPS/IDS of soms een applicatie firewall rule
Als je een nmap scan doet op een aantal tcpwrapped porten/apps dan zie je zo iets:
20/tcp open tcpwrapped
21/tcp open tcpwrapped
22/tcp open tcpwrapped
Je weet nu wel dat port 21 open is, en dat het vermoedelijk om ftp gaat. Maar je weet niet om welke applicatie of versie het gaat.
Als elke admin tcpwrapping zou gebruiken, dan zou het leven een stuk kutter zijn voor hackers lijkt me (behalve als je nogsteeds dezelfde standaard poort gebruikt op WAN situaties. Hackers moeten dan malware-spagetti/rijstballetjes gooien en hopen dat het plakt, ipv eerst kunnen enumeraten.
https://security.stackexchange.com/questions/23407/how-to-bypass-tcpwrapped-with-nmap-scan voor meer informatie.
Je vraagt je dan af waarom die wrappers niet op al de gecompromiteerde servers zijn gezet zodat Shadowserver nul webshells zou hebben gevonden.
Nederland is zo te zien wel een topland vwb exchange hacks: https://www.shadowserver.org/wp-content/uploads/2021/03/Microsoft_ExchangeCompromised_Microsoft_Exchange_Servers-20210316-20210329-winkel_tripel_world_bmng_200407-test1-2px.jpg
Bedoel je dat instanties die Exchange servers draaien wel actief de scans van Shadowserver blokkeren, maar niet die webshells verwijderen? Dat zou toch echt crimineel slecht systeembeheer zijn...
Bedoel je dat instanties die Exchange servers draaien wel actief de scans van Shadowserver blokkeren, maar niet die webshells verwijderen? Dat zou toch echt crimineel slecht systeembeheer zijn...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.