image

Onderzoekers kregen via vpn-lek toegang tot intranet Twitter

dinsdag 3 september 2019, 11:01 door Redactie, 10 reacties

Onderzoekers van securitybedrijf Devcore hebben toegang tot het intranet van Twitter gekregen omdat het bedrijf een beschikbare beveiligingsupdate voor een ernstig lek in de gebruikte vpn-oplossing niet had geïnstalleerd. Uiteindelijk lukte het de onderzoekers zelfs om de vpn-server van Twitter over te nemen.

De Pulse Secure vpn-oplossing waar Twitter gebruik van maakt laat werknemers op afstand verbinding met het bedrijfsnetwerk maken. Via een kwetsbaarheid in de software kan een aanvaller zonder inloggegevens de vpn-server van organisaties overnemen, alsmede alle vpn-clients. Alleen toegang via https en het versturen van een speciaal geprepareerde uri is voldoende. Pulse Secure patchte het lek op 24 april.

De kwetsbaarheid werd ontdekt door onderzoekers Orange Tsai en Meh Chang, die Pulse Secure over het probleem informeerden. Tsai en Chang hadden gezien dat Twitter van de kwetsbare vpn-oplossing gebruikmaakte. Ze gaven Twitter echter de tijd om de patch te installeren, maar een maand na het uitkomen van de update was die nog steeds niet door het bedrijf uitgerold.

Daarop besloten de onderzoekers Twitter via het vpn-lek aan te vallen en kregen zo toegang tot het intranet van het bedrijf. Het doel van Tsai en Chang was echter om willekeurige code op de server uit te voeren. Dit was mogelijk via de wachtwoorden van managers die op de vpn-oplossing hadden ingelogd. De wachtwoorden die de onderzoekers vonden waren echter gesalt en gehasht.

Ze wisten door gebruik te maken van Amazon Web Services een wachtwoordhash uiteindelijk te kraken. "Ik denk dat we mazzel hebben gehad. Voor zover wij kunnen zien geldt er een sterk wachtwoordbeleid voor Twitterpersoneel. Maar het lijkt dat dit beleid niet voor de manager geldt. Het wachtwoord van de manager bestaat uit slechts tien karakters en het eerste karakter is een B", aldus Tsai. De wachtwoordhash kon in drie uur worden gekraakt, waarna remote code execution mogelijk was.

De onderzoekers waarschuwden Twitter, waarna ze de hoogste bug bounty van 20.000 dollar van Twitter ontvingen. "Hoewel we het niet kunnen bewijzen, lijkt dit de eerste remote code execution op Twitter te zijn geweest", stelt Tsai. In een analyse van het beveiligingslek laat de onderzoeker verder zien hoe vpn-clients die met de gecompromitteerde vpn-server verbinding maakten konden worden overgenomen. Gisteren werd bekend dat ook in Nederland nog tientallen bedrijven de update niet hebben geïnstalleerd.

Reacties (10)
03-09-2019, 11:31 door Anoniem
O, mag een sterk wachtwoord tegenwoordig ook al niet meer beginnen met een B?
Wat is het idee daarachter? Dat een hash kraken gebeurt op alfabetische volgorde ofzo?
Wat is de volgende "maar dat is ook niet goed voor een sterk wachtwoord" claim die de aanhangers van sterke
wachtwoorden nu weer gaan verzinnen? Dat hele sterke wachtwoorden verhaal wordt steeds lachwekkender...

Als ze nou toch binnen waren bij Twitter, waarom hebben ze dan niet de sourcecode van die nieuwe web interface
grondig verwijderd van de systemen en vervangen door de vorige? Twitter is totaal niet meer bruikbaar tenzij je een
browserstring instelt die de vorige versie forceert, en dan zijn er weer andere problemen omdat ie dan met de beperkingen
van Internet Explorer gaat werken. En Twitter is niet geinteresseerd in opmerkingen over die nieuwe versie.
03-09-2019, 12:07 door Briolet
Door Anoniem: O, mag een sterk wachtwoord tegenwoordig ook al niet meer beginnen met een B?
Wat is het idee daarachter?

Het gaat niet om de B, maar om aan de eigenaar van dat wachtwoord aan te geven dat zij ook daadwerkelijk het wachtwoord in handen hebben, zonder het hele wachtwoord publiekelijk te maken.
03-09-2019, 13:14 door Anoniem
Het leek er eerst op dat dit een wachtwoord van een manager (= organisatorische functie) was. Als ik het stuk zelf lees, lijkt het hier echter te gaan om het wachtwoord van een beheerder. Als de redactie dat woord had gebruikt, was het wel duidelijker geweest. Het ging de onderzoekers namelijk om toegang tot de beheersinterface.

Peter
03-09-2019, 13:17 door SecOff - Bijgewerkt: 03-09-2019, 13:17
Door Anoniem: O, mag een sterk wachtwoord tegenwoordig ook al niet meer beginnen met een B?
Wat is het idee daarachter?
Het is natuurlijk beter dan een wachtwoord dat begint met een A maar iedereen weet toch dat sterke wachtwoorden moeten beginnen met een letter die minimaal de 8ste letter in het alfabet is. Beter nog is het om je wachtwoord te laten beginnen met een Z. Anders is het veel te makkelijk te brute-forcen....
03-09-2019, 13:24 door Briolet
Door SecOff: … Beter nog is het om je wachtwoord te laten beginnen met een Z. Anders is het veel te makkelijk te brute-forcen....

Tenzij ze achteraan beginnen. Een A of B is zo slecht nog niet omdat die in het midden zit van de reeks "a-z-A-Z" (-:
03-09-2019, 13:29 door Anoniem
Door Briolet:
Door Anoniem: O, mag een sterk wachtwoord tegenwoordig ook al niet meer beginnen met een B?
Wat is het idee daarachter?

Het gaat niet om de B, maar om aan de eigenaar van dat wachtwoord aan te geven dat zij ook daadwerkelijk het wachtwoord in handen hebben, zonder het hele wachtwoord publiekelijk te maken.
Waarmee het wachtwoord is gereduceerd tot effectief 9 karakters als het nog niet is vernieuwd...

Voor zover wij kunnen zien geldt er een sterk wachtwoordbeleid voor Twitterpersoneel. Maar het lijkt dat dit beleid niet voor de manager geldt.
O, dus het personeel moet wachtwoorden serieus nemen, maar managers mogen het zich gemakkelijk maken ten koste van de security? Wat is dat nu weer voor een flut security beleid. Foei!
Het wordt wel weer duidelijk dat managers eerder minder dan meer te vertrouwen zijn.
(goh, waarom verbaas ik me niet?)
03-09-2019, 14:21 door Anoniem
Door SecOff:
Door Anoniem: O, mag een sterk wachtwoord tegenwoordig ook al niet meer beginnen met een B?
Wat is het idee daarachter?
Het is natuurlijk beter dan een wachtwoord dat begint met een A maar iedereen weet toch dat sterke wachtwoorden moeten beginnen met een letter die minimaal de 8ste letter in het alfabet is. Beter nog is het om je wachtwoord te laten beginnen met een Z. Anders is het veel te makkelijk te brute-forcen....
Nouja dat bedoel ik maar. Dat hele idee van sterke wachtwoorden is gewoon totale nep. Alle wachtwoorden zijn zwak
te noemen als je ze eenmaal weet. Wachtwoorden zijn gewoon geen sterke beveiliging hoe je het ook draait of keert.
03-09-2019, 17:28 door Anoniem
Door Anoniem:
Door SecOff:
Door Anoniem: O, mag een sterk wachtwoord tegenwoordig ook al niet meer beginnen met een B?
Wat is het idee daarachter?
Het is natuurlijk beter dan een wachtwoord dat begint met een A maar iedereen weet toch dat sterke wachtwoorden moeten beginnen met een letter die minimaal de 8ste letter in het alfabet is. Beter nog is het om je wachtwoord te laten beginnen met een Z. Anders is het veel te makkelijk te brute-forcen....
Nouja dat bedoel ik maar. Dat hele idee van sterke wachtwoorden is gewoon totale nep. Alle wachtwoorden zijn zwak
te noemen als je ze eenmaal weet. Wachtwoorden zijn gewoon geen sterke beveiliging hoe je het ook draait of keert.
Zucht... Het lijkt erop dat je het gehele punt van wachtwoorden niet begrijpt. Niets is veilig als je het weet. Je weet iemand wachtwoord? Goh.. onveilig. Je weet iemands biometrische gegeven? Goh.. onveilig. Dit is niet hoe het in 'echt' gaat. Hier is namelijk nog het scenario 'onbekend' van toepassing.

Een wachtwoord met 9/10 characters is met de huidige technologie redelijk te kraken, vereist soms nog wat geluk maar het is te doen in afzienbare tijd. Een wachtwoord van 12 characters wordt alweer lastiger en 16 characters zowat onmogelijk (zonder geluk te hebben of gebruik te maken van een makkelijke pass-phrase). Gooi er nog een mooi entropie op door gebruik te maken van cijfers, uppercase, lowercase en special characters en een je hebt een mix voor een mooi veilig wachtwoord. Zolang mensen nog maar wel onthouden dat ze de wachtwoorden niet moeten opschrijven, of hergebruiken en gebruik te maken van de password manager (en deze ook een degelijk wachtwoord te geven...). Ook het wijzigen na een lek is geen luxe (meestal wordt dit gelukkig nu geforceerd door de organisatie in kwestie, maar niet altijd.

Moraal van het verhaal, de manager hield zich niet aan zijn eigen beleid en dient hiervoor een flinke straf te krijgen (naar mijn mening ontslag). Want, policies werken alleen als iedereen (en vooral managers) er zich aan houden. Als je manager er al niet om maalt, dan zit je organisatorisch toch echt in de problemen.
Daarnaast, het missen van een update uit april (die vrij breed gedeeld is) lijkt mij een absolute schande. Zeker voor een systeem wat direct aan het internet hangt.

#mijn5cent
03-09-2019, 17:33 door Anoniem
Door Anoniem:
Voor zover wij kunnen zien geldt er een sterk wachtwoordbeleid voor Twitterpersoneel. Maar het lijkt dat dit beleid niet voor de manager geldt.
O, dus het personeel moet wachtwoorden serieus nemen, maar managers mogen het zich gemakkelijk maken ten koste van de security? Wat is dat nu weer voor een flut security beleid. Foei!
Het wordt wel weer duidelijk dat managers eerder minder dan meer te vertrouwen zijn.
(goh, waarom verbaas ik me niet?)

Dit is een verkeerde interpretatie van het woord "manager" in de oorspronkelijke tekst. Als je die in context lees, blijkt dat men hier "beheerder" bedoelt.

In de parktijk worden sterke wachtwoorden afgedwongen door het managementsysteem voor gewone accounts. Maar voor beheer worden vaak beheersaccounts aangemaakt. Daar wordt vaak geen policy afgedwongen. Beheerders, die ook maar gewoon mensen zijn, zullen dan vaak een simpel wachtwoord kiezen.

Peter
03-09-2019, 21:28 door Anoniem
Door Anoniem:
Dit is een verkeerde interpretatie van het woord "manager" in de oorspronkelijke tekst. Als je die in context lees, blijkt dat men hier "beheerder" bedoelt.

In de parktijk worden sterke wachtwoorden afgedwongen door het managementsysteem voor gewone accounts. Maar voor beheer worden vaak beheersaccounts aangemaakt. Daar wordt vaak geen policy afgedwongen.

Of het beheeraccount is een standaardaccount van het systeem wat tijdens de installatie voorzien wordt van een
wachtwoord nog voordat de policy voor wachtwoorden wordt ingesteld.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.