image

Amerikaanse gaspijpleiding twee dagen offline door ransomware

woensdag 19 februari 2020, 09:35 door Redactie, 9 reacties

Een Amerikaanse gaspijpleiding is door ransomware twee dagen offline geweest, zo laat het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid in een waarschuwing weten. Wie de eigenaar van de pijpleiding is, is niet bekendgemaakt.

De aanval begon met een e-mail met een link naar een kwaadaardig bestand. Om wat voor soort bestand het ging laat het CISA niet weten. Wel werd het bestand door een medewerker gedownload en geopend. Op deze manier wist de aanvaller toegang te krijgen tot het it-netwerk van de aangevallen gascompressiefaciliteit. Van het it-netwerk lukte het de aanvaller vervolgens om ook het operationele netwerk te compromitteren en op beide netwerken ransomware uit te rollen. Daardoor waren verschillende machines en diensten niet meer beschikbaar. Het gaspijplijnbedrijf had ook geen toegang meer tot real-time operationele data.

Het bedrijf had in het eigen responsplan geen rekening met cyberaanvallen gehouden. Vanwege de infectie werd besloten om alle operaties gecontroleerd uit te schakelen. De downtime duurde in totaal twee dagen, wat leidde tot een productiviteitsverlies en een verlies van inkomsten. Volgens het CISA had het bedrijf geen netwerksegmentatie toegepast, waardoor de aanvaller van het it-netwerk toegang tot het operationele netwerk kon krijgen.

Hoewel de directe operationele impact van de ransomware-aanval was beperkt tot één controlefaciliteit, moesten andere locaties vanwege de opzet van de gaspijpleiding ook hun operaties stoppen. De gehele gaspijpleiding was als gevolg twee dagen offline. Het CISA doet verschillende aanbevelingen om dergelijke aanvallen te voorkomen, zoals netwerksegmentatie, het geregeld maken van back-ups en die geïsoleerd bewaren, het updaten van software, filteren van e-mail, het juist instellen van gebruikersrechten, het gebruik van multifactorauthenticatie en whitelisting en het beperken van RDP.

Verder krijgen organisaties het advies om macro's in Microsoft Office-bestanden die via e-mail zijn ontvangen uit te schakelen. Ook wordt aangeraden om de Microsoft Office Viewer te gebruiken om Office-bestanden die via e-mail zijn ontvangen te openen, in plaats van hiervoor Microsoft Office zelf te gebruiken. Microsoft is echter in 2018 gestopt met het aanbieden en ondersteunen van de Office Viewer, waardoor kwetsbaarheden in deze software niet meer worden gepatcht.

Reacties (9)
19-02-2020, 09:52 door karma4
Dit zou al tijden (vele tientallen jaren) de standaard moeten zijn:
Het CISA doet verschillende aanbevelingen om dergelijke aanvallen te voorkomen, zoals netwerksegmentatie, het geregeld maken van back-ups en die geïsoleerd bewaren, het updaten van software, filteren van e-mail, het juist instellen van gebruikersrechten, het gebruik van multifactorauthenticatie en whitelisting en het beperken van RDP.
Waarom wordt het niet gedaan?
19-02-2020, 09:59 door Anoniem
Door karma4: Dit zou al tijden (vele tientallen jaren) de standaard moeten zijn:
Het CISA doet verschillende aanbevelingen om dergelijke aanvallen te voorkomen, zoals netwerksegmentatie, het geregeld maken van back-ups en die geïsoleerd bewaren, het updaten van software, filteren van e-mail, het juist instellen van gebruikersrechten, het gebruik van multifactorauthenticatie en whitelisting en het beperken van RDP.
Waarom wordt het niet gedaan?
Kost extra geld, "het is makkelijker om software direct vanaf internet te installeren", dat soort opmerkingen. De oorzaak ligt vaak bij de hogere gelederen, want er moet bezuinigd worden en alles moet meteen gisteren gebeuren. Tijd voor beveiligen, trainen en testen is er dan niet (voldoende),
19-02-2020, 10:37 door DLans - Bijgewerkt: 19-02-2020, 10:37
Door karma4: Dit zou al tijden (vele tientallen jaren) de standaard moeten zijn:
Het CISA doet verschillende aanbevelingen om dergelijke aanvallen te voorkomen, zoals netwerksegmentatie, het geregeld maken van back-ups en die geïsoleerd bewaren, het updaten van software, filteren van e-mail, het juist instellen van gebruikersrechten, het gebruik van multifactorauthenticatie en whitelisting en het beperken van RDP.
Waarom wordt het niet gedaan?

Met het hele "industry 4.0" zijn er veel bedrijven die spreken van samensmelting van netwerken, hoe zeer dat ook tegen de beveiligingsprincipes in gaat.

Wij kunnen bijvoorbeeld vanuit onze Citrix omgeving (maar niet lokaal) RDP sessies opzetten naar productieservers. In sommige gevallen staat ook poort 80/443 open voor webbased-view omgevingen van SCADA servers (wel read-only). Je kan hier dus al niet meer van een scheiding spreken, er wordt beperkt verkeer toegestaan. Nu is de Citrix omgeving redelijk veilig en kan je niets starten wat niet vooraf goedgekeurd is, maar dan nog is het risicovol. Malware heeft weinig kans om door te hoppen, maar het is niet onmogelijk.
19-02-2020, 11:46 door Anoniem
Door DLans:Nu is de Citrix omgeving redelijk veilig en kan je niets starten wat niet vooraf goedgekeurd is, maar dan nog is het risicovol. Malware heeft weinig kans om door te hoppen, maar het is niet onmogelijk.

Werk jij dus bij een van die bedrijven die nog steeds een ongepatchte Citrix hebben draaien, omdat die omgeving "redelijk veilig" is en "malware heeft weinig kans om door te hoppen"?

Je weet dat de officiele patch niets meer is dan de workaround iets dieper in het systeem inbouwen? Dat er nog steeds geen volledige bescherming is tegen directory traversal? Dat het alleen lastiger is om te realiseren?

Peter
19-02-2020, 12:18 door souplost
Door karma4: Dit zou al tijden (vele tientallen jaren) de standaard moeten zijn:
Het CISA doet verschillende aanbevelingen om dergelijke aanvallen te voorkomen, zoals netwerksegmentatie, het geregeld maken van back-ups en die geïsoleerd bewaren, het updaten van software, filteren van e-mail, het juist instellen van gebruikersrechten, het gebruik van multifactorauthenticatie en whitelisting en het beperken van RDP.
Waarom wordt het niet gedaan?
Omdat het beheer van dit ecosysteem te ingewikkeld blijkt te zijn en patchen niet vlekkeloos verloopt.
Goed gereedschap is het halve werk.
19-02-2020, 13:34 door Anoniem
Door Anoniem:
Door DLans:Nu is de Citrix omgeving redelijk veilig en kan je niets starten wat niet vooraf goedgekeurd is, maar dan nog is het risicovol. Malware heeft weinig kans om door te hoppen, maar het is niet onmogelijk.

Werk jij dus bij een van die bedrijven die nog steeds een ongepatchte Citrix hebben draaien, omdat die omgeving "redelijk veilig" is en "malware heeft weinig kans om door te hoppen"?

Je weet dat de officiele patch niets meer is dan de workaround iets dieper in het systeem inbouwen? Dat er nog steeds geen volledige bescherming is tegen directory traversal? Dat het alleen lastiger is om te realiseren?

Jij hebt zeker uit de recente berichtgeving in de media het beeld opgepikt dat Citrix bedoeld is om thuis te kunnen werken
en dat je het opent vanaf internet?

Dan kan ik je aanraden de materie wat beter te bestuderen, want dat is niet wat Citrix is, dat is alleen 1 product uit
hun pakket en dat is pas veel later uitgekomen dan het originele "terminalserver" product wat meer vergelijkbaar
is met RDP. De kwetsbaarheden van een Citrix omgeving zijn vergelijkbaar met die van een Windows omgeving,
alleen wordt er op die servers vaak meer aandacht aan besteed dan op werkstations.

Dus als iemand het er over heeft dat netwerken gescheiden zijn en dat er vanuit een Citrix omgeving iets wel of niet
mogelijk is dan gaat dat niet over dat lek wat er laatst was. Lees je een beetje in voor je zo kort door de bocht gaat!
20-02-2020, 09:55 door Anoniem
Door Anoniem:
Door Anoniem:
Door DLans:Nu is de Citrix omgeving redelijk veilig en kan je niets starten wat niet vooraf goedgekeurd is, maar dan nog is het risicovol. Malware heeft weinig kans om door te hoppen, maar het is niet onmogelijk.

Werk jij dus bij een van die bedrijven die nog steeds een ongepatchte Citrix hebben draaien, omdat die omgeving "redelijk veilig" is en "malware heeft weinig kans om door te hoppen"?

Je weet dat de officiele patch niets meer is dan de workaround iets dieper in het systeem inbouwen? Dat er nog steeds geen volledige bescherming is tegen directory traversal? Dat het alleen lastiger is om te realiseren?

Jij hebt zeker uit de recente berichtgeving in de media het beeld opgepikt dat Citrix bedoeld is om thuis te kunnen werken
en dat je het opent vanaf internet?

Dan kan ik je aanraden de materie wat beter te bestuderen, want dat is niet wat Citrix is, dat is alleen 1 product uit
hun pakket en dat is pas veel later uitgekomen dan het originele "terminalserver" product wat meer vergelijkbaar
is met RDP. De kwetsbaarheden van een Citrix omgeving zijn vergelijkbaar met die van een Windows omgeving,
alleen wordt er op die servers vaak meer aandacht aan besteed dan op werkstations.

Dus als iemand het er over heeft dat netwerken gescheiden zijn en dat er vanuit een Citrix omgeving iets wel of niet
mogelijk is dan gaat dat niet over dat lek wat er laatst was. Lees je een beetje in voor je zo kort door de bocht gaat!

Ik ben heel erg goed op de hoogte van wat Citrix allemaal biedt. En ook dat er veel meer producten kwetsbaar waren dan alleen die "VPN" of "VDI" omgeving. En ook dat diverse Citrix omgevingen (en van een aantal in detail) in Nederland zijn overgenomen en misbruikt werden.

Ja, Citrix is veel meer, maar de onderliggende software is nu niet echt het toonbeeld van een adequaat beveiliginsbeleid.
Wat te denken van een oude FreeBSd versie met een EOL Python?
Wachtwoorden staan plaintext in de process list. Als je binnen bent, dan hoef je die maar op te vragen om te zien welke processen met welke wachtwoorden draaien.
Een forensisch specialist op het gebied van software analyse heeft de code van Citrix, en de update, onderzocht. Zijn mening: "Ook het lek uit december is niet gedicht. Er is alleen dieper in het systeem een betere workaround aangebracht. De verwachting is dat die in de loop van dit jaar weer omzeild gaat worden. Als er niet andere gaten in die FreeBSD en Python versie worden gevonden."

Peter
20-02-2020, 14:57 door Anoniem
Hoe zat het daar met de airgap?

luntrus
20-02-2020, 16:15 door Anoniem
Door Anoniem: Hoe zat het daar met de airgap?

luntrus

Hier is was het gasgap.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.