FBI waarschuwt: verwijder ongebruikte, uitgeschakelde admin-accounts
Organisaties moeten vandaag nog hun ongebruikte, uitgeschakelde accounts verwijderen. Helemaal als het om admin-accounts gaat, zo waarschuwt de FBI. Aanleiding zijn aanvallen door meerdere statelijke actoren die misbruik maken van kwetsbaarheden in Fortinet FortiOS (CVE-2022-42475) en Zoho ManageEngine ServiceDesk Plus (CVE-2022-47966). FortiOS is het besturingssysteem dat op firewalls van Fortinet draait.
Via de kwetsbaarheid kregen de aanvallers controle over de firewall van een organisatie in de luchtvaartsector. Vervolgens werd een eerder uitgeschakeld account van een contractor door de aanvallers gebruikt. Volgens de FBI is het een standaard werkwijze voor de aanvallers om gebruik te maken van uitgeschakelde admin-accounts, alsmede het verwijderen van logbestanden van belangrijke servers, om zo onderzoek naar de aanval en verder misbruik te bemoeilijken.
De FBI roept organisaties op om de twee kwetsbaarheden in kwestie te patchen mocht dat nog niet zijn gedaan en te monitoren op het ongeautoriseerde gebruik van remote access software zoals ConnectWise ScreenConnect, dat de aanvallers gebruiken om verbinding met systemen mee te maken. Verder wordt aangeraden onnodige, uitgeschakelde accounts te verwijderen. "Zorg voor beleid en procedures voor het snel verwijderen van onnodige (uitgeschakelde) accounts en groepen die niet langer binnen de onderneming nodig zijn."
Het systeem is failliet.
Het systeem is failliet.
Inderdaad. Wat lijkt het me heerlijk om zonder een wereld vol met internet en bijkomstigheden te leven. Triest dat het zover moet komen al zeg ik het zelf en dan ben ik nog geeneens de 30 gepasseerd...
Staat gewoon in het verhaal, "Fortinet FortiOS"
Indien een ander admin account wordt gecompromiteerd is het mogelijk de uitgeschakelede admin accounts weer te activeren
Omdat veelal bij het uitschakelen van de admin accounts de rechten niet worden verwijderd, is de blast radius wanneer zo een account wordt geactiveerd groot.
Omdat het om het her-activeren van een bestaand account gaat, valt dit minder op en wordt hiermee persistence gecreëerd in de omgeving.
Veel dreigingen komen ook vanuit de interne organisatie en niet alleen vanuit externe die de omgeving aanvallen. Het is daarom vrij eenvoudig voor een kwaadwillige beheerder om op deze wijze toegang te behouden tot de omgeving.
Door de accounts te verwijderen wordt deze attack vector deels voorkomen.
Uiteindelijk zouden admin accounts altijd alerting moeten hebben wanneer zij worden gebruikt. En vooral oude (admin) accounts zouden alert moeten geven als die na een x periode inactief zijn geweest, in eens weer worden gebruikt.
En ja, dit geldt niet alleen voor admin account.
Indien een ander admin account wordt gecompromiteerd is het mogelijk de uitgeschakelede admin accounts weer te activeren
Omdat veelal bij het uitschakelen van de admin accounts de rechten niet worden verwijderd, is de blast radius wanneer zo een account wordt geactiveerd groot.
Omdat het om het her-activeren van een bestaand account gaat, valt dit minder op en wordt hiermee persistence gecreëerd in de omgeving.
Maar dan kan die aanvaller toch gewoon een nieuw account maken in plaats van een uitgeschakeld account inschakelen?
"maar dat valt op" lijkt me geen argument als inschakelen van een uitgeschakeld account niet zou opvallen.
Je ziet nog wel eens dat verhaal "als je het apparaat gekocht hebt moet je (ingelogd als Admin) een nieuw account maken met een unieke naam en dat Admin rechten geven en dan dat Admin account uitschakelen". (niet specifiek voor Fortinet)
Het idee zou dan zijn dat aanvalles die de hele tijd wachtwoorden afschieten op Admin er nooit in komen. Ze zouden dan ook andere accounts moeten proberen, wat dan effectief de lengte van je wachtwoord vergroot. Je kunt net zo goed een langer wachtwoord nemen lijkt me, maar goed.
Echter als dit je standaard policy is, dan valt het toch op als er een enabled Admin account is??? Dwz dat valt je op als je zo nu en dan de user lijst opent. "maar dat doet men nooit" -> ok dan kan die aanvaller gewoon een extra account maken, en snijdt dit hele verhaal dus geen hout.
---> het woord zegt het al: disabled. Om het account te enablen heb je inderdaad admin-rechten nodig. Het is handiger een bestaand admin account te gebruiken, aangezien daar al de nodige permissies aan zijn toegekend.
De aanvallers maken er waarschijnlijk gebruik van omdat het minder opvalt, hetzij aan personen of vermeend aan beveiligingssoftware. Het toevoegen van een account valt meer op. Maar de FBI moet eerst eens intern luisteren naar mensen die wel verstand van beveiligen hebben en geen adviezen zoals deze de wereld inslingeren. Er zijn al genoeg stoorzenders in de securitywereld. De echte oplossing is uiteraard de kwetsbaarheid fixen en security monitoring.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.