Amerikaanse gaspijpleiding twee dagen offline door ransomware
Een Amerikaanse gaspijpleiding is door ransomware twee dagen offline geweest, zo laat het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid in een waarschuwing weten. Wie de eigenaar van de pijpleiding is, is niet bekendgemaakt.
De aanval begon met een e-mail met een link naar een kwaadaardig bestand. Om wat voor soort bestand het ging laat het CISA niet weten. Wel werd het bestand door een medewerker gedownload en geopend. Op deze manier wist de aanvaller toegang te krijgen tot het it-netwerk van de aangevallen gascompressiefaciliteit. Van het it-netwerk lukte het de aanvaller vervolgens om ook het operationele netwerk te compromitteren en op beide netwerken ransomware uit te rollen. Daardoor waren verschillende machines en diensten niet meer beschikbaar. Het gaspijplijnbedrijf had ook geen toegang meer tot real-time operationele data.
Het bedrijf had in het eigen responsplan geen rekening met cyberaanvallen gehouden. Vanwege de infectie werd besloten om alle operaties gecontroleerd uit te schakelen. De downtime duurde in totaal twee dagen, wat leidde tot een productiviteitsverlies en een verlies van inkomsten. Volgens het CISA had het bedrijf geen netwerksegmentatie toegepast, waardoor de aanvaller van het it-netwerk toegang tot het operationele netwerk kon krijgen.
Hoewel de directe operationele impact van de ransomware-aanval was beperkt tot één controlefaciliteit, moesten andere locaties vanwege de opzet van de gaspijpleiding ook hun operaties stoppen. De gehele gaspijpleiding was als gevolg twee dagen offline. Het CISA doet verschillende aanbevelingen om dergelijke aanvallen te voorkomen, zoals netwerksegmentatie, het geregeld maken van back-ups en die geïsoleerd bewaren, het updaten van software, filteren van e-mail, het juist instellen van gebruikersrechten, het gebruik van multifactorauthenticatie en whitelisting en het beperken van RDP.
Verder krijgen organisaties het advies om macro's in Microsoft Office-bestanden die via e-mail zijn ontvangen uit te schakelen. Ook wordt aangeraden om de Microsoft Office Viewer te gebruiken om Office-bestanden die via e-mail zijn ontvangen te openen, in plaats van hiervoor Microsoft Office zelf te gebruiken. Microsoft is echter in 2018 gestopt met het aanbieden en ondersteunen van de Office Viewer, waardoor kwetsbaarheden in deze software niet meer worden gepatcht.
Met het hele "industry 4.0" zijn er veel bedrijven die spreken van samensmelting van netwerken, hoe zeer dat ook tegen de beveiligingsprincipes in gaat.
Wij kunnen bijvoorbeeld vanuit onze Citrix omgeving (maar niet lokaal) RDP sessies opzetten naar productieservers. In sommige gevallen staat ook poort 80/443 open voor webbased-view omgevingen van SCADA servers (wel read-only). Je kan hier dus al niet meer van een scheiding spreken, er wordt beperkt verkeer toegestaan. Nu is de Citrix omgeving redelijk veilig en kan je niets starten wat niet vooraf goedgekeurd is, maar dan nog is het risicovol. Malware heeft weinig kans om door te hoppen, maar het is niet onmogelijk.
Werk jij dus bij een van die bedrijven die nog steeds een ongepatchte Citrix hebben draaien, omdat die omgeving "redelijk veilig" is en "malware heeft weinig kans om door te hoppen"?
Je weet dat de officiele patch niets meer is dan de workaround iets dieper in het systeem inbouwen? Dat er nog steeds geen volledige bescherming is tegen directory traversal? Dat het alleen lastiger is om te realiseren?
Peter
Goed gereedschap is het halve werk.
Werk jij dus bij een van die bedrijven die nog steeds een ongepatchte Citrix hebben draaien, omdat die omgeving "redelijk veilig" is en "malware heeft weinig kans om door te hoppen"?
Je weet dat de officiele patch niets meer is dan de workaround iets dieper in het systeem inbouwen? Dat er nog steeds geen volledige bescherming is tegen directory traversal? Dat het alleen lastiger is om te realiseren?
Jij hebt zeker uit de recente berichtgeving in de media het beeld opgepikt dat Citrix bedoeld is om thuis te kunnen werken
en dat je het opent vanaf internet?
Dan kan ik je aanraden de materie wat beter te bestuderen, want dat is niet wat Citrix is, dat is alleen 1 product uit
hun pakket en dat is pas veel later uitgekomen dan het originele "terminalserver" product wat meer vergelijkbaar
is met RDP. De kwetsbaarheden van een Citrix omgeving zijn vergelijkbaar met die van een Windows omgeving,
alleen wordt er op die servers vaak meer aandacht aan besteed dan op werkstations.
Dus als iemand het er over heeft dat netwerken gescheiden zijn en dat er vanuit een Citrix omgeving iets wel of niet
mogelijk is dan gaat dat niet over dat lek wat er laatst was. Lees je een beetje in voor je zo kort door de bocht gaat!
Werk jij dus bij een van die bedrijven die nog steeds een ongepatchte Citrix hebben draaien, omdat die omgeving "redelijk veilig" is en "malware heeft weinig kans om door te hoppen"?
Je weet dat de officiele patch niets meer is dan de workaround iets dieper in het systeem inbouwen? Dat er nog steeds geen volledige bescherming is tegen directory traversal? Dat het alleen lastiger is om te realiseren?
Jij hebt zeker uit de recente berichtgeving in de media het beeld opgepikt dat Citrix bedoeld is om thuis te kunnen werken
en dat je het opent vanaf internet?
Dan kan ik je aanraden de materie wat beter te bestuderen, want dat is niet wat Citrix is, dat is alleen 1 product uit
hun pakket en dat is pas veel later uitgekomen dan het originele "terminalserver" product wat meer vergelijkbaar
is met RDP. De kwetsbaarheden van een Citrix omgeving zijn vergelijkbaar met die van een Windows omgeving,
alleen wordt er op die servers vaak meer aandacht aan besteed dan op werkstations.
Dus als iemand het er over heeft dat netwerken gescheiden zijn en dat er vanuit een Citrix omgeving iets wel of niet
mogelijk is dan gaat dat niet over dat lek wat er laatst was. Lees je een beetje in voor je zo kort door de bocht gaat!
Ik ben heel erg goed op de hoogte van wat Citrix allemaal biedt. En ook dat er veel meer producten kwetsbaar waren dan alleen die "VPN" of "VDI" omgeving. En ook dat diverse Citrix omgevingen (en van een aantal in detail) in Nederland zijn overgenomen en misbruikt werden.
Ja, Citrix is veel meer, maar de onderliggende software is nu niet echt het toonbeeld van een adequaat beveiliginsbeleid.
Wat te denken van een oude FreeBSd versie met een EOL Python?
Wachtwoorden staan plaintext in de process list. Als je binnen bent, dan hoef je die maar op te vragen om te zien welke processen met welke wachtwoorden draaien.
Een forensisch specialist op het gebied van software analyse heeft de code van Citrix, en de update, onderzocht. Zijn mening: "Ook het lek uit december is niet gedicht. Er is alleen dieper in het systeem een betere workaround aangebracht. De verwachting is dat die in de loop van dit jaar weer omzeild gaat worden. Als er niet andere gaten in die FreeBSD en Python versie worden gevonden."
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
