image

Inbraak op tientallen VN-servers via bekend SharePoint-lek

woensdag 29 januari 2020, 16:52 door Redactie, 13 reacties
Laatst bijgewerkt: 29-01-2020, 17:08

Aanvallers zijn vorig jaar juli erin geslaagd om op tientallen servers van de Verenigde Naties in te breken omdat een belangrijke beveiligingsupdate voor een ernstige kwetsbaarheid niet door beheerders was geinstalleerd. De kwetsbaarheid werd in februari en maart vorig jaar door Microsoft gepatcht.

In mei werd bekend dat de kwetsbaarheid actief werd aangevallen en kwam de Canadese overheid zelfs met een waarschuwing voor deze aanvallen. De servers bij de Verenigde Naties werden echter niet gepatcht. Volgens VN-beleid moeten updates binnen een maand zijn geïnstalleerd, maar dat was in dit geval niet gebeurd, zo laat een VN-woordvoerder tegenover The New Humanitarian weten.

Aanvallers konden zo toegang tot een kwetsbare SharePoint-server krijgen en daarvandaan andere servers in het VN-netwerk benaderen. Het zou om minstens 42 servers op locaties in Genève en Wenen gaan. Vijfentwintig andere servers zijn mogelijk door de aanvallers gecompromitteerd. Bij de aanval zou 400GB aan data zijn buitgemaakt, waaronder gegevens van VN-medewerkers, aldus een bron. VN-personeel werd na ontdekking van de inbraak wel gevraagd hun wachtwoord te wijzigen, maar kreeg niets over de inbraak en gestolen data te horen.

Reacties (13)
29-01-2020, 16:58 door [Account Verwijderd]
Volgens VN-beleid moeten updates binnen een maan zijn geïnstalleerd, maar dat was in dit geval niet gebeurd, zo laat een VN-woordvoerder tegenover The New Humanitarian weten.

Ik neem aan dat maan=maand. <<typo
29-01-2020, 17:21 door Anoniem
Door Advanced Encryption Standard:
Volgens VN-beleid moeten updates binnen een maan zijn geïnstalleerd, maar dat was in dit geval niet gebeurd, zo laat een VN-woordvoerder tegenover The New Humanitarian weten.

Ik neem aan dat maan=maand. <<typo

Dat scheelt elkaar niet veel.
29-01-2020, 18:53 door Anoniem
Door Anoniem:
Door Advanced Encryption Standard:
Volgens VN-beleid moeten updates binnen een maan zijn geïnstalleerd, maar dat was in dit geval niet gebeurd, zo laat een VN-woordvoerder tegenover The New Humanitarian weten.

Ik neem aan dat maan=maand. <<typo

Dat scheelt elkaar niet veel.
Vandaar waarschijnlijk de conclusie dat het een typo is.
29-01-2020, 19:16 door Erik van Straten
Volgens VN-beleid moeten updates binnen een maand zijn geïnstalleerd
Ik word altijd woest als ik dit soort krankzinnige bureaucratische crap lees. Als de dakbedekking van een pand waait, wacht je dan ook een maand voordat je het laat repareren? We kijken het nog een maandje aan met dat Corona virus?

Inderdaad hoef je niet meteen te patchen bij een kritisch lek; als je de kwetsbare systemen meteen uitzet en uit laat kun je heel lang nadenken over wel/niet/wanneer patchen.
29-01-2020, 21:01 door Anoniem
Ik zie de lol er niet van in om bij de VN in te breken. Ook niet als heel de VN twee maanden ligt te pitten. Bij de WHO ook niet trouwens, als Corona wordt aangehaald. Dat wordt wel erg uitgespeeld door pers en politiek. Gelukkig is er nog de WHO die er die er nog nuchter verslag van doet. Terwijl er daar in China hele steden op slot gaan. Moet je hier eens proberen, dan staat gelijk het hele malieveld vol en de parking eronder kan ook gelijk vervangen worden.

Ik snap niet wat de lol is om bij zulke organisaties in te breken.
30-01-2020, 08:21 door Bitje-scheef
Door Erik van Straten: Ik word altijd woest als ik dit soort krankzinnige bureaucratische crap lees. Als de dakbedekking van een pand waait, wacht je dan ook een maand voordat je het laat repareren? We kijken het nog een maandje aan met dat Corona virus?

Inderdaad hoef je niet meteen te patchen bij een kritisch lek; als je de kwetsbare systemen meteen uitzet en uit laat kun je heel lang nadenken over wel/niet/wanneer patchen.

Uhhhh.... woest mag je worden. Maar wachten is wel de realiteit en niet altijd onterecht. Als praktiserend IT'er wacht men wel vaker, omdat na een week/maand blijkt dat de patch/fix meer kapot maakt dan oplost. Fijn als je dan vervolgens het systeem inderdaad uit moet zetten, maar dan om een andere reden....
30-01-2020, 09:00 door Erik van Straten - Bijgewerkt: 30-01-2020, 09:03
Door Bitje-scheef:
Door Erik van Straten: Ik word altijd woest als ik dit soort krankzinnige bureaucratische crap lees. Als de dakbedekking van een pand waait, wacht je dan ook een maand voordat je het laat repareren? We kijken het nog een maandje aan met dat Corona virus?

Inderdaad hoef je niet meteen te patchen bij een kritisch lek; als je de kwetsbare systemen meteen uitzet en uit laat kun je heel lang nadenken over wel/niet/wanneer patchen.

Uhhhh.... woest mag je worden. Maar wachten is wel de realiteit en niet altijd onterecht. Als praktiserend IT'er wacht men wel vaker, omdat na een week/maand blijkt dat de patch/fix meer kapot maakt dan oplost. Fijn als je dan vervolgens het systeem inderdaad uit moet zetten, maar dan om een andere reden....
Dat is vervelend. Maar in mijn ervaring is het zo dat als een patch grote problemen veroorzaakt, je dit niet pas na een week/maand ontdekt.

Belangrijker: als je een patch, die voorkomt dat onbevoegden in je systeem kunnen wroeten, om welke reden dan ook niet installeert, kunnen de gevolgen veel ernstiger zijn. Niet alleen voor de betreffende organisatie zelf, maar ook voor derden. Namelijk als er vertrouwelijke gegevens van die derden zijn gelekt, of hun gegevens in jouw systemen opzettelijk zijn gewijzigd, ontoegankelijk zijn gemaakt of simpelweg zijn verwijderd. Of als zij, op het moment dat zij denken te communiceren met jouw organisatie, door de aanvallers op het verkeerde been worden gezet. Je gokt met hun gegevens als je er niet alles aan doet om ongeautoriseerde toegang te voorkomen, zodra een kwetsbaarheid bekend is. Met reacties zoals die van jou kan ik er niet op wachten tot de AP vette boetes gaat uitdelen.

Daarbij, als een systeem met patch onvoldoende goed werkt, kun je het altijd nog uitzetten en wachten op een patch waarin de problemen zijn opgelost. En als een systeem zo belangrijk is voor het functioneren van een organisatie, dat dit systeem onmisbaar wordt geacht, moet je zorgen voor een uitwijksysteem, waarbij de kans dat kwetsbaarheden die zich in systeem 1 manifesteren, dat ook in systeem 2 doen, minimaal is (zie https://www.security.nl/posting/639487/Internet+facing+vulns+-+Citrix+etcetera).

De meeste antivirusproducten hebben wel eens een update gehad die systemen lamlegde. Is dat dan een reden om geen antivirus meer te gebruiken?
30-01-2020, 11:03 door Bitje-scheef
De meeste antivirusproducten hebben wel eens een update gehad die systemen lamlegde. Is dat dan een reden om geen antivirus meer te gebruiken?

Dat is een scheve vergelijking in het argument, om een product dan niet meer te gebruiken. Sommige systemen kunnen kritisch zijn en mogen absoluut niet langer down dan een uur. In het geval van de Citrix is het slechts externe toegang geweest om even uit te zetten, dus klein ongemak. Dan is afwachten een strategie, bijvoorbeeld met een weekje dan komen de eerste problemen meestal wel boven. Of het een goede is mag ieder voor zich uitmaken. Niet iedereen heeft dan de kunde en kennis om de patch geheel terug te draaien (sommige zijn niet goed terug te draaien overigens).

Daar zijn legio's voorbeelden van op dit forum over teruggetrokken updates.

Ook ik heb afgewogen om patches (niet kritieke, dat dan weer wel) later uit te rollen, omdat ik anders 5 dagen in de week met MS aan de telefoon kon gaan hangen. Precies in de tijd dat MS nou niet echt briljant bezig was met de updates. Dit heeft voorkomen dat ik in ieder geval niet kaal werd van het haren trekken.

Dus ja....
30-01-2020, 11:08 door karma4
Door Erik van Straten: [
Dat is vervelend. Maar in mijn ervaring is het zo dat als een patch grote problemen veroorzaakt, je dit niet pas na een week/maand ontdekt.
...
Belangrijker: als je een patch, die voorkomt dat onbevoegden in je systeem kunnen wroeten, om welke reden dan ook niet installeert, kunnen de gevolgen veel ernstiger zijn. …
...
De meeste antivirusproducten hebben wel eens een update gehad die systemen lamlegde. Is dat dan een reden om geen antivirus meer te gebruiken?
Als de hele keten van een enkele toegangsbeveiliging afhankelijk is, dan is er veel meer mis.
Vergelijk het met een fysieke toegang, de eerste poort, ontvangstruimte kantine, bevat niet veel gevoeligs.

--> Risico management
Daarna krijg je met de veel striktere toegang met de rest te maken, tenminste als dat van toepassing is.
Ook het AP heeft het over proportioneel inzet als ze de GDPR volgen. De absolute zekerheid tegen wat ongelimiteerde kosten gaat het echt niet worden. Daarvoor moet je een adequaat draaiboek hebben voor het geval dat … .
30-01-2020, 11:16 door Erik van Straten
Door Bitje-scheef: Niet iedereen heeft dan de kunde en kennis om de patch geheel terug te draaien
Nee, dat klopt. Daarom moet je ook niet "iedereen" het werk van een systeembeheerder laten doen, zeker niet indien sprake is van kritische systemen.

Door Bitje-scheef: (sommige zijn niet goed terug te draaien overigens).
Nooit gehoord van virtualisatie en snapshots? Of van back-ups terugzetten?
30-01-2020, 13:35 door Bitje-scheef
Door Erik van Straten:
Door Bitje-scheef: Niet iedereen heeft dan de kunde en kennis om de patch geheel terug te draaien
Nee, dat klopt. Daarom moet je ook niet "iedereen" het werk van een systeembeheerder laten doen, zeker niet indien sprake is van kritische systemen.

Door Bitje-scheef: (sommige zijn niet goed terug te draaien overigens).
Nooit gehoord van virtualisatie en snapshots? Of van back-ups terugzetten?

Er is meer in de bandbreedte van zwart-wit.
Ik ga nu stoppen want het wordt een zinloze discussie...
30-01-2020, 14:07 door Anoniem
Door Anoniem: Ik zie de lol er niet van in om bij de VN in te breken. Ook niet als heel de VN twee maanden ligt te pitten. Bij de WHO ook niet trouwens, als Corona wordt aangehaald. Dat wordt wel erg uitgespeeld door pers en politiek. Gelukkig is er nog de WHO die er die er nog nuchter verslag van doet. Terwijl er daar in China hele steden op slot gaan. Moet je hier eens proberen, dan staat gelijk het hele malieveld vol en de parking eronder kan ook gelijk vervangen worden.

Ik snap niet wat de lol is om bij zulke organisaties in te breken.

Aanpassen van documenten zodat ze positiever over jou als land zijn. Vaak zijn die documenten zo lang dat niemand in de gaten heeft als er ergens een alinea verdwijnt of een conclusie net iets anders wordt. En als het al opvalt, zal men denken dat de lobbisten weer bezig zijn geweest.

Peter
01-02-2020, 18:56 door Anoniem
Door Anoniem:
Door Anoniem: Ik zie de lol er niet van in om bij de VN in te breken. Ook niet als heel de VN twee maanden ligt te pitten. Bij de WHO ook niet trouwens, als Corona wordt aangehaald. Dat wordt wel erg uitgespeeld door pers en politiek. Gelukkig is er nog de WHO die er die er nog nuchter verslag van doet. Terwijl er daar in China hele steden op slot gaan. Moet je hier eens proberen, dan staat gelijk het hele malieveld vol en de parking eronder kan ook gelijk vervangen worden.

Ik snap niet wat de lol is om bij zulke organisaties in te breken.

Aanpassen van documenten zodat ze positiever over jou als land zijn. Vaak zijn die documenten zo lang dat niemand in de gaten heeft als er ergens een alinea verdwijnt of een conclusie net iets anders wordt. En als het al opvalt, zal men denken dat de lobbisten weer bezig zijn geweest.

Peter

Ook zonder aanpassing , weten wat de (werkelijke) standpunten en overwegingen van andere partijen zijn, wat er beloofd wordt aan landen (of vertegenwoordigers) om mee (of tegen) te stemmen etc etc.
Goed geinformeerd zijn is altijd nuttig in een politieke omgeving.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.