image

Criminelen verspreiden ransomware via lek in Pulse Secure vpn-software

dinsdag 7 januari 2020, 09:43 door Redactie, 8 reacties

Criminelen maken gebruik van een bekend beveiligingslek in de Pulse Secure vpn-software om bedrijven en organisaties met ransomware te infecteren, zo heeft Pulse Secure zelf bekendgemaakt. Geldwisselaar Travelex, die onlangs door ransomware werd getroffen, had verschillende Pulse Secure-servers niet gepatcht, aldus beveiligingsonderzoeker Kevin Beaumont.

De kwetsbaarheid in Pulse Secure werd vorig jaar april gepatcht. Het beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld. Ook werd het lek tijdens de afgelopen Black Hat-conferentie uitgeroepen tot het "beste server-side beveiligingslek" van het afgelopen jaar. De Pulse Secure vpn-oplossing laat werknemers op afstand verbinding met een bedrijfsnetwerk maken. Via de kwetsbaarheid in de software kan een aanvaller zonder inloggegevens de vpn-server van organisaties overnemen, alsmede alle vpn-clients.

Alleen toegang via https en het versturen van een speciaal geprepareerde uri is voldoende om de kwetsbaarheid uit te buiten. Pulse Secure patchte het lek op 24 april. Op 20 augustus verscheen er een exploit online die misbruik van de kwetsbaarheid maakt en sinds 22 augustus vinden ook daadwerkelijk aanvallen plaats, aldus Beaumont. Sinds 22 augustus wordt er ook op grote schaal naar kwetsbare endpoints gezocht, zo liet onderzoeker Troy Mursch vorig jaar weten. De onderzoeker vond ruim 14.000 kwetsbare vpn-servers, waaronder 420 in Nederland.

"Het beveiligingslek is echt zeer ernstig. Het laat mensen zonder geldige gebruikersnaam en wachtwoord op afstand verbinding met het bedrijfsnetwerk maken, wat het apparaat juist zou moeten voorkomen, multifactorauthenticatie uitschakelen, op afstand logs en gecachte wachtwoorden in plain text bekijken, waaronder Active Directory-wachtwoorden", merkt Beaumont op.

De onderzoeker ontdekte vorige week twee incidenten waarbij criminelen het lek in Pulse Secure hadden gebruikt om organisaties met ransomware te infecteren. Beide organisaties hadden ongepatchte vpn-servers. De kwetsbaarheid gaf de aanvallers toegang tot het bedrijfsnetwerk. Vervolgens wisten die domeinbeheerderrechten te verkrijgen en schakelden aanwezige beveiligingssoftware uit. Hierna werd de Sodinokibi-ransomware op alle systemen geïnstalleerd.

Geldwisselaar Travelex, die op 31 december door dezelfde ransomware werd geïnfecteerd, had zeven ongepatchte Pulse Secure vpn-servers, claimt Beaumont. Organisaties die de update nog niet hebben geïnstalleerd krijgen het advies om dit alsnog te doen. Naar aanleiding van het lek liet minister Grapperhaus van Justitie en Veiligheid nog weten dat organisaties die het installeren van beveiligingsupdates uitstellen ongelofelijke oliebollen zijn.

Reacties (8)
07-01-2020, 10:39 door Anoniem
Oh ja dat was dat lek waarvoor er wel een patch was maar die gingen beheerders niet installeren omdat ze niet wilden
dat de gebruikers een paar minuten niet konden werken en omdat ze die eerst zelf wilden testen voor ze die gingen
installeren maar daar hadden ze geen tijd voor of geen testomgeving. Dat lek.

Zo zie je maar weer: dergelijke "best practices" die op zich heel verdedigbaar lijken de zijn die zijn een groot gevaar
voor je bedrijf, zeker als ze hard zijn vastgelegd en niet van geval tot geval bekeken worden.
07-01-2020, 10:52 door Anoniem
Door Anoniem: Oh ja dat was dat lek waarvoor er wel een patch was maar die gingen beheerders niet installeren omdat ze niet wilden
dat de gebruikers een paar minuten niet konden werken en omdat ze die eerst zelf wilden testen voor ze die gingen
installeren maar daar hadden ze geen tijd voor of geen testomgeving. Dat lek.

Zo zie je maar weer: dergelijke "best practices" die op zich heel verdedigbaar lijken de zijn die zijn een groot gevaar
voor je bedrijf, zeker als ze hard zijn vastgelegd en niet van geval tot geval bekeken worden.
Goed, dat JIJ precies weet, wat er hier gebeurd nis!
07-01-2020, 11:31 door Anoniem
Hihi powned. Hoop dat de ransom een stukje hoger uitvalt dan de downtime van patchen. Hopelijk dringt het dan eens in de c-level hoofdjes door dat geld uitgeven aan preventie best nuttig kan zijn....
07-01-2020, 12:58 door Anoniem
Hopelijk dringt het dan eens in de c-level hoofdjes door dat geld uitgeven aan preventie best nuttig kan zijn....
Het blijft gewoon heel lastig om de waarde van IT security aan te tonen wanneer het al heel lang goed gaat. Je leert tijdens de CISSP zelfs dat je 'nét' voldoende security wilt hebben, teveel is immers te duur. Soms gaat C-level de mist in tijdens dit proces van optimalisatie. Je kunt het ook omdraaien: wellicht zijn de security medewerkers gewoon niet zo goed in interne communicatie. Dat vermoeden heb ik wel als er zo wordt gesproken over C-level, je mist dan inlevingsvermogen in hun afwegingen.
07-01-2020, 13:45 door Anoniem
Door Anoniem:
Door Anoniem: Oh ja dat was dat lek waarvoor er wel een patch was maar die gingen beheerders niet installeren omdat ze niet wilden
dat de gebruikers een paar minuten niet konden werken en omdat ze die eerst zelf wilden testen voor ze die gingen
installeren maar daar hadden ze geen tijd voor of geen testomgeving. Dat lek.

Zo zie je maar weer: dergelijke "best practices" die op zich heel verdedigbaar lijken de zijn die zijn een groot gevaar
voor je bedrijf, zeker als ze hard zijn vastgelegd en niet van geval tot geval bekeken worden.
Goed, dat JIJ precies weet, wat er hier gebeurd nis!

Ja voor het geval je daar niet bij was, daar is hier uitgebreid over gediscussieerd een maandje geleden ofzo.
De "beheerders" die het heel verklaarbaar vonden dat een dergelijke critical patch niet geinstalleerd werd die vielen
over elkaar heen met deze "goede redenen".
07-01-2020, 18:37 door Anoniem
Nog veel Nederlandse organisaties maken gebruik van kwetsbare Pulse Secure en Fortigate vpn-software en lopen daardoor risico op aanvallen, zo waarschuwt het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid.

NCSC: veel Nederlandse organisaties met kwetsbare vpn-software
zaterdag 19 oktober 2019 door Redactie

https://www.security.nl/posting/628254/NCSC%3A+veel+Nederlandse+organisaties+met+kwetsbare+vpn-software
07-01-2020, 20:15 door Erik van Straten
Door Anoniem: Je kunt het ook omdraaien: wellicht zijn de security medewerkers gewoon niet zo goed in interne communicatie. Dat vermoeden heb ik wel als er zo wordt gesproken over C-level, je mist dan inlevingsvermogen in hun afwegingen.
Ja je kunt het omdraaien. Maar het is boffen als een security-specialist, of een ICT-er die "security erbij mag doen" (vaak uitsluitend als er "tijd over is"), naast weten hoe je kwetsbaarheden mitigeert, ook de helicopterview heeft om allerlei risico's in de organisatie in verhouding tot elkaar te zien. En een keiharde onderhandelaar is die respect afdwingt en die weet dat je veel hoger moet inzetten om je superieuren te overtuigen van de noodzaak van het nemen van essentiële maatregelen. Maatregelen om incidenten te voorkomen die zich wellicht nooit eerder in de betreffende organisatie hebben voorgedaan. Maatregelen die vaak ook nog eens tijdrovend en prijzig zijn, en tot onvrede/onbegrip in de organisatie leiden indien onvoldoende ondersteund en toegelicht door leidinggevenden (die ook dat denken te kunnen overlaten aan ICT-ers, of erger, lacherig doen en flauwe grappen maken over informatiebeveiliging). Ga er maar aan staan.

Is dat niet bij uitstek de taak van die -duurdere- "C-level" (of hoe ze ook mogen heten) blabla baasjes? Waarom worden meestal ICT-ers erop aangekeken na beveiligingsincidenten, ook als zij vaak genoeg signalen hebben afgegeven over mogelijke risico's - en hen in antwoord daarop meestal verteld wordt dat ze nu al te lang doen over hun lopende taken? Vind je het gek dat deze mensen dan steeds vaker hun schouders ophalen, alleen al om een burnout te voorkomen?

Security is primair een managementtaak, maar de meeste leidinggevenden die ik heb meegemaakt vinden security maar ingewikkeld, vervelend en/of tijdverspilling en vooral iets dat een ander maar moet oplossen (zorg maar dat het "veilig is"). Ik ben niet verbaasd over het grote aantal beveiligingsincidenten waarvan o.a. deze site dagelijks melding maakt. Aantallen die vermoedelijk veel groter zijn doordat slechts een klein deel de pers haalt.

Omdraaien? Doe maar 360 graden dan.
08-01-2020, 13:07 door Anoniem
Is dat niet bij uitstek de taak van die -duurdere- "C-level" (of hoe ze ook mogen heten) blabla baasjes? Waarom worden meestal ICT-ers erop aangekeken na beveiligingsincidenten, ook als zij vaak genoeg signalen hebben afgegeven over mogelijke risico's - en hen in antwoord daarop meestal verteld wordt dat ze nu al te lang doen over hun lopende taken? Vind je het gek dat deze mensen dan steeds vaker hun schouders ophalen, alleen al om een burnout te voorkomen?

Security is primair een managementtaak, maar de meeste leidinggevenden die ik heb meegemaakt vinden security maar ingewikkeld, vervelend en/of tijdverspilling en vooral iets dat een ander maar moet oplossen (zorg maar dat het "veilig is"). Ik ben niet verbaasd over het grote aantal beveiligingsincidenten waarvan o.a. deze site dagelijks melding maakt. Aantallen die vermoedelijk veel groter zijn doordat slechts een klein deel de pers haalt.

Omdraaien? Doe maar 360 graden dan.
De punten die je hier aanhaalt zijn allemaal een gevolg van een (slechte of matige) interne bedrijfscultuur. Als men zo over security spreekt, dan zal het op andere vlakken niet veel beter zijn (HR, CAO, innovaties, veranderende markt enz). Mijn oplossing is dat ik zulke bedrijven per eerste mogelijkheid verlaat, zoals vrijwel alle 'goede/inspirerende' collega's ook doen. Blijf je in zo'n bedrijf zitten, dan 'bubbel' je vanzelf omhoog en wordt je ofwel onderdeel van die giftige bedrijfscultuur, of je kop gaat eraf. Ga altijd na of de medewerkers op C-level ooit van de werkvloer omhoog zijn gegroeid of niet, dat is vaak al een teken aan de wand. Ga weg bij zo'n werkgever en voorkom dat je door de heersende gelatenheid na je vertrek nergens meer aan de bak komt (je mist dan actuele vakkennis, drive, innovaties enz).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.