Nieuws
image

Haven van Houston aangevallen via zerodaylek in Zoho ManageEngine

vrijdag 24 september 2021, 12:03 door Redactie, 4 reacties

De haven van Houston is in augustus aangevallen via een zerodaylek in Zoho ManageEngine ADSelfService Plus. De aanval werd echter snel opgemerkt, zo stelt CNN op basis van een rapport van de Amerikaanse kustwacht. ManageEngine ADSelfService Plus is een self-service password management en single sign-on oplossing voor Active Directory en cloud-apps. Het stelt gebruikers onder andere in staat om zelf hun wachtwoord te resetten.

Via het zerodaylek wisten aanvallers op 19 augustus toegang tot een webserver van de haven te krijgen. Vervolgens installeerden ze software om het netwerk verder aan te vallen. Zo'n negentig minuten na de initiële inbraak hadden de aanvallers alle inloggegevens voor niet nader genoemde Microsoft-software gestolen, meldt CNN. Minuten later werd de gecompromitteerde server door havenpersoneel geïsoleerd, waardoor ongeautoriseerde toegang tot het netwerk werd afgesneden, zo laat het rapport weten.

Tijdens een hoorzitting erkende het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) het bestaan van het zerodaylek en dat het die bij de haven van Houston had aangetroffen. Zoho kwam op 7 september met een beveiligingsupdate voor de kwetsbaarheid. Op 16 september publiceerden de Amerikaanse kustwacht, de FBI en het CISA een waarschuwing waarin werd gewaarschuwd voor misbruik van het beveiligingslek.

De haven van Houston laat zelf in een reactie weten dat het de aanval in augustus succesvol heeft afgeslagen en er geen operationele data of systemen zijn getroffen (pdf). Wie erachter de aanval zat is onbekend.

Reacties (4)
25-09-2021, 21:02 door amx
Dat is best opmerkelijk, in positieve zin. Het is als niet IT organisatie vaak niet een gegeven wat goede ICT beveiliging inhoudt en een dergelijke exploit lokaliseren voordat ernstige schade is toegebracht is echt wel dik oké.
26-09-2021, 06:56 door [Account Verwijderd]
Door amx: Dat is best opmerkelijk, in positieve zin. Het is als niet IT organisatie vaak niet een gegeven wat goede ICT beveiliging inhoudt en een dergelijke exploit lokaliseren voordat ernstige schade is toegebracht is echt wel dik oké.

"Zo'n negentig minuten na de initiële inbraak hadden de aanvallers alle inloggegevens voor niet nader genoemde Microsoft-software gestolen, meldt CNN." Als je systeem zo snel 'valt' dan heb je wel een dergelijk snelle responstijd nodig ja. Kortom: ga nou niet de zaak lopen spindoctoren, het is gewoon weer brakke Microsoft software die hiervoor verantwoordelijk is.
28-09-2021, 10:47 door [Account Verwijderd]
Door Toje Fos:
Door amx: Dat is best opmerkelijk, in positieve zin. Het is als niet IT organisatie vaak niet een gegeven wat goede ICT beveiliging inhoudt en een dergelijke exploit lokaliseren voordat ernstige schade is toegebracht is echt wel dik oké.

"Zo'n negentig minuten na de initiële inbraak hadden de aanvallers alle inloggegevens voor niet nader genoemde Microsoft-software gestolen, meldt CNN." Als je systeem zo snel 'valt' dan heb je wel een dergelijk snelle responstijd nodig ja. Kortom: ga nou niet de zaak lopen spindoctoren, het is gewoon weer brakke Microsoft software die hiervoor verantwoordelijk is.

Niet echt, het was een fout in de REST API van ManageEngine AD SelfServicePlus. Dat is een tool die aan de Active Directory gehangen wordt om gebruikers de mogelijkheid te geven om hun wachtwoord te resetten. Het lek zat dus niet in de AD, maar in de third-party tool.
https://www.manageengine.com/products/self-service-password/kb/how-to-fix-authentication-bypass-vulnerability-in-REST-API.html
29-09-2021, 08:37 door Anoniem
gek gegaan ..vroeger gebeurde het bommenwerpers en kamikazepiloten vanaf vliegdekschepen.

Had je in 1940 moeten plaatsen dit bericht
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search