image

Zeroday-lek in it-beheersoftware Skysea maandenlang aangevallen

maandag 16 oktober 2017, 13:48 door Redactie, 1 reacties

Als het gaat om zeroday-lekken die worden aangevallen gaat het vaak over Adobe Flash Player, Microsoft Office en Internet Explorer, maar een onbekende kwetsbaarheid in de it-beheersoftware Skysea Client View is maandenlang gebruikt om Japanse bedrijven en organisaties binnen te dringen. Dat laat securitybedrijf SecureWorks in een analyse weten.

Skysea Client View is een programma voor it-beheer binnen organisaties en is met name in Japan erg populair. Een kwetsbaarheid in de software maakte het mogelijk om willekeurige code op systemen uit te voeren. Het beveiligingslek werd vorig jaar december door softwareontwikkelaar Sky Corporation gepatcht, maar werd volgens SecureWorks al sinds juni 2016 actief aangevallen. In maart van dit jaar besloot de ontwikkelaar aanvullende informatie over de kwetsbaarheid vrij te geven en adviseerde organisaties de patch te installeren.

De kwetsbaarheid kan worden aangevallen wanneer een draagbaar verbindingsapparaat, zoals een LTE usb-modem, verbonden is met een werklaptop. Het is normaal voor Japanse werknemers om dergelijke apparaten te gebruiken om met internet en het bedrijfs-vpn verbinding te maken. Sommige van deze apparaten kennen het globale ip-adres van de internetprovider aan de verbonden laptop toe. Aanvallers scannen naar deze ip-adressen en doen zich vervolgens voor als de managementconsole van SkySea.

Zo kunnen ze de Skysea-software die via internet toegankelijk is compromitteren en de laptop van de werknemer overnemen. Volgens SecureWorks scannen de aanvallers periodiek op internet naar kwetsbare hosts. Zodra een systeem is gecompromitteerd wordt er aanvullende malware geïnstalleerd. Verder maken de aanvallers gebruik van tools zoals Mimikatz en WCE om inloggegevens op het besmette systeem te stelen. Ook wordt er op de besmette systemen naar waardevolle bestanden gezocht, die de aanvallers vervolgens terugsturen.

Reacties (1)
16-10-2017, 17:34 door Anoniem
Sommige van deze apparaten kennen het globale ip-adres van de internetprovider aan de verbonden laptop toe.
Het wat? Je bedoelt carrier-NAT, of is dit een inepte manier om "publiek IPadres" te schrijven?

(Wat een mindset: Maak verbinding met internet, helemaal verbaasd als je dan een publiek IPadres krijgt. WAT HAD JE DAN GEDACHT?!? Wat dat betreft doen we liever NAT weg, carrier-NAT en local-NAT en al die andere ongein, want we hebben hoe dan ook OSen en applicatiesoftware nodig die met de "oh help ik heb een publiek IPadres"-situatie kunnen omgaan. Dan maak je dat dus beter de standaardsituatie.)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.