Nieuws
image

Cisco: Europese backbone-provider besmet via lek in ManageEngine

vrijdag 25 augustus 2023, 15:54 door Redactie, 12 reacties

Een Europese backbone-provider is via een kwetsbare versie van ManageEngine Servicedesk besmet met malware, zo stelt Cisco. De niet nader genoemde "internet backbone infrastructure provider" had nagelaten een beschikbare beveiligingsupdate te installeren. Servicedesk is software waarmee helpdesks allerlei taken kunnen uitvoeren, zoals incidentmanagement, het beheer van supporttickets en het genereren van rapportages.

Het beveiligingslek, aangeduid als CVE-2022-47966, maakt het voor een ongeauthenticeerde aanvaller mogelijk om op afstand willekeurige code op kwetsbare systemen uit te voeren. Eind oktober en begin november vorig jaar kwam Zoho met beveiligingsupdates voor de kwetsbaarheid. In januari van dit jaar werd proof-of-concept exploitcode voor het beveiligingslek openbaar gemaakt. Vijf dagen na de publicatie maken aanvallers actief misbruik van de kwetsbaarheid.

De aanval op de backbone-provider is volgens Cisco het werk van de Lazarus Group, die volgens het netwerkbedrijf wordt gesponsord door de Noord-Koreaanse overheid. Lazarus wordt door onderzoekers aangemerkt als een financieel gemotiveerde groep en richt zich vaak op cryptogerelateerde bedrijven. Wat het precies met de aanval op de backbone-provider wilde bereiken is niet bekend.

De malware die de groep bij de aanvallen inzet maakt gebruik van het QT framework. Dat vergroot volgens Cisco de complexiteit van de code, wat analyse door onderzoekers lastiger maakt in vergelijking met malware gemaakt met eenvoudigere programmeertalen.

Reacties (12)
Reageer met quote
25-08-2023, 17:27 door Anoniem
Het zoveelste probleem van gesloten supply chain software. Je weet wat je te doen staat.
Reageer met quote
25-08-2023, 17:27 door Anoniem
DAAROM dus geen achterdeurtjes in je firmware, ook als het goed bedoeld is.
En als je het echt nodig hebt, dan steek je er maar een remote management kaart in of zo.
Reageer met quote
25-08-2023, 23:29 door Anoniem
Door Anoniem: DAAROM dus geen achterdeurtjes in je firmware, ook als het goed bedoeld is.
En als je het echt nodig hebt, dan steek je er maar een remote management kaart in of zo.

Advies van iemand die niet meer kan lezen dan de titel en dan meteen z'n vooroordeel post ?

Dit heeft helemaal NIETS te maken met de Intel Management Engine .

https://www.manageengine.com/products/service-desk/
https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html

Gewoon een service desk pakket dat op een gewoon OS draait, en gewoon een bug heeft - niks te maken met remote management van servers , firmware etc etc.
Reageer met quote
25-08-2023, 23:48 door Anoniem
Vraag is waarom de vrije staten dit allemaal gedogen?
Waarom wordt Noord-Korea niet compleet van het internet afgegooid? Dat zou een betere oplossing zijn!
Reageer met quote
26-08-2023, 00:08 door Anoniem
Door Anoniem: DAAROM dus geen achterdeurtjes in je firmware, ook als het goed bedoeld is.
EHHH???
Dit heeft toch niks met "achterdeurtjes in je firmware" te maken??
Dan had je beter kunnen schrijven: DAAROM geen JAVA!
Reageer met quote
26-08-2023, 18:25 door Anoniem
Door Anoniem: Het zoveelste probleem van gesloten supply chain software. Je weet wat je te doen staat.

Wat een onzinnige opmerking weer. Het probleem was bekend, de oplossing was bekend. De beheerders hebben simpelweg nagelaten om te patchen, niet meer, niet minder. Kwestie van een fatsoenlijk intern patch beleid voeren.
Reageer met quote
26-08-2023, 20:29 door Anoniem
Dat is dan wel erg onprofessioneel van zo`n bedrijf dat een belangrijke schakel is in het geheel.
Reageer met quote
27-08-2023, 04:45 door Anoniem
Door Anoniem: Vraag is waarom de vrije staten dit allemaal gedogen?
Waarom wordt Noord-Korea niet compleet van het internet afgegooid? Dat zou een betere oplossing zijn!
Ik denk niet dat je de illusie moet hebben dat dat zou helpen. Noord-Korea is met het internet verbonden via China, en dat zijn bevriende landen. Ga er maar rustig vanuit dat een heleboel internetverkeer vanuit Noord-Korea er helemaal niet uitziet alsof het uit Noord-Korea komt.
Reageer met quote
27-08-2023, 11:46 door Anoniem
Hun hackers zitten natuurlijk ook niet vrolijk allemaal achter een terminal in Noord Korea. Landen afsluiten om je tegen hun hackers te beschermen is nutteloos en als straf ook beperkt. Het land leeft meer in de steentijd dan digitaal...

Jezelf airgappen kan natuurlijk wel in sommige gevallen.
Reageer met quote
27-08-2023, 14:47 door Anoniem
En niemand die zich afvraagt hoe Cisco dit weet?
Reageer met quote
27-08-2023, 17:49 door Anoniem
Door Anoniem: En niemand die zich afvraagt hoe Cisco dit weet?

Cisco heeft een hele grote security tak?

Cisco Talos Intelligence https://www.talosintelligence.com/[/url[Oa proxy scanning, mailware detection, mailscanning, DNS analyse.
Reageer met quote
27-08-2023, 17:54 door Anoniem
Door Anoniem: En niemand die zich afvraagt hoe Cisco dit weet?

Alleen mensen die niet in de security werken of zelfs het artikelen linkjes niet kunnen volgen vragen dit zich af.

Cisco heeft een business unit Talos , die security services, apparaten verkopen - zoals ieder security bedrijf - ook analyses en onderzoeken doen .

Dit geval zal vast bij een klant van Cisco/Talos gespeeld hebben.

Als je op de klikbare link 'Cisco' geklikt had , had je je niks hoeven afvragen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search