image

IoT-malware verspreidt zich via lekken in SonicWall en Struts

maandag 10 september 2018, 12:19 door Redactie, 4 reacties

Onderzoekers waarschuwen voor Internet of Things-malware die zich verspreidt via kwetsbaarheden in Apache Struts en het SonicWall Global Management System (GMS). Het laatst genoemde beveiligingslek werd in juli van dit jaar gepatcht en krijgt op een schaal van 1 tot en met 10 wat betreft de ernst een 10.

Via het SonicWall GMS kunnen organisaties SonicWall-producten beheren en uitrollen. Een beveiligingslek in GMS versie 8.1 en eerder maakt het mogelijk voor een aanvaller om willekeurige code op het systeem uit te voeren. Hoewel er een update is uitgekomen om de kwetsbaarheid te verhelpen is deze patch niet beschikbaar voor oudere, niet meer ondersteunde versies van GMS. Organisaties die niet kunnen upgraden krijgen het advies om toegang tot xmlrpc-poort (tcp 21009) te blokkeren.

De kwetsbaarheid in het SonicWall GMS wordt aangevallen door de Gafgyt-malware. Deze malware staat ook bekend als Lizkebab, BASHLITE en Torlus en kwam in 2016 in het nieuws vanwege de infectie van 1 miljoen IoT-apparaten. Volgens securitybedrijf Palo Alto Networks zijn SonicWall GMS-systemen al sinds 5 augustus het doelwit van de Gafgyt-malware. Zodra een systeem is geïnfecteerd kan het voor ddos-aanvallen worden ingezet.

Onderzoekers van het bedrijf ontdekten ook een nieuwe variant van de beruchte Mirai-malware die van een beveiligingslek in Apache Struts gebruikmaakt. Het gaat om een kwetsbaarheid die uit 2017 stamt en ook werd gebruikt om bij de Amerikaanse kredietbeoordelaar Equifax in te breken. "Deze ontwikkelingen suggereren dat deze IoT-botnets zich meer op bedrijfssystemen met ongepatchte software richten", zegt onderzoeker Ruchna Nigam. Organisaties krijgen dan ook het advies om zowel hun systemen als IoT-apparaten up-to-date te houden.

Reacties (4)
10-09-2018, 20:39 door -karma4
Door Redactie: Onderzoekers waarschuwen voor Internet of Things-malware die zich verspreidt via kwetsbaarheden in Apache Struts en het SonicWall Global Management System (GMS). Het laatst genoemde beveiligingslek werd in juli van dit jaar gepatcht en krijgt op een schaal van 1 tot en met 10 wat betreft de ernst een 10.

Ai, ai, ai! Dat is buitengewoon vervelend want IoT-fabrikanten willen meestal voor een dubbeltje op de eerste rang zitten en hebben vaak niet de moeite genomen om een updatemechanisme in te bouwen. Dat betekent dat er talloze IoT-apparaten die moeilijk of niet zijn te patchen in gebruik zijn. Dan krijg je dat de internetprovider mensen gaat afsluiten omdat hun IoT-apparatuur tot een botnet behoort. En die mensen kunnen dan eigenlijk alleen maar die IoT-apparatuur uitzetten, van internet halen en naar de stort brengen :-(
11-09-2018, 00:08 door Anoniem
Door The FOSS:
Door Redactie: Onderzoekers waarschuwen voor Internet of Things-malware die zich verspreidt via kwetsbaarheden in Apache Struts en het SonicWall Global Management System (GMS). Het laatst genoemde beveiligingslek werd in juli van dit jaar gepatcht en krijgt op een schaal van 1 tot en met 10 wat betreft de ernst een 10.

Ai, ai, ai! Dat is buitengewoon vervelend want IoT-fabrikanten willen meestal voor een dubbeltje op de eerste rang zitten en hebben vaak niet de moeite genomen om een updatemechanisme in te bouwen. Dat betekent dat er talloze IoT-apparaten die moeilijk of niet zijn te patchen in gebruik zijn. Dan krijg je dat de internetprovider mensen gaat afsluiten omdat hun IoT-apparatuur tot een botnet behoort. En die mensen kunnen dan eigenlijk alleen maar die IoT-apparatuur uitzetten, van internet halen en naar de stort brengen :-(

Met wat geluk leren die mensen de volgende keer voor een product of fabrikant te kiezen met een solide belofte wat betreft updates. Als het nooit pijn doet leert men het nooit.
11-09-2018, 08:56 door Anoniem
SonicWall jaren(3 of 4 jaar) geleden voor al de IoT zo bekend werd al eens in een lijst van ddos ips gevonden. Dat ding is zo lek als maar wat. De makers kunnen het beter SonicHole noemen.. Zeer slechte zaak, dit soort fabrikanten zouden eigenlijk helemaal niet in de IT security sector aanwezig mogen zijn imho.
11-09-2018, 11:15 door Anoniem
Door Anoniem: SonicWall jaren(3 of 4 jaar) geleden voor al de IoT zo bekend werd al eens in een lijst van ddos ips gevonden. Dat ding is zo lek als maar wat. De makers kunnen het beter SonicHole noemen.. Zeer slechte zaak, dit soort fabrikanten zouden eigenlijk helemaal niet in de IT security sector aanwezig mogen zijn imho.

Dit artikel geeft aan dat er een lek zat in het GMS, waarmee malware verspreid kon worden. Er staat niet dat de firewall lek is. Een beetje misplaatste reactie dus, zonder enige vorm van onderbouwing of zelfs maar een bronvermelding.
ps: wanneer je op deze site zoekt naar lekken in firewalls, dan vind je de laatste jaren de grootste problemen bij Palo Alto (zoek maar eens op die naam).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.