image

Duitse overheid informeert providers over kwetsbare Exchange-servers

woensdag 7 oktober 2020, 16:41 door Redactie, 1 reacties

De Duitse overheid is begonnen met het informeren van netwerkproviders over kwetsbare Exchange-servers in hun netwerken. De servers bevatten een kwetsbaarheid die wordt aangeduid als CVE-2020-0688. Via het beveiligingslek kan een aanvaller, die toegang tot het e-mailaccount van een gebruiker op de server heeft, willekeurige code met systeemrechten uitvoeren.

Op deze manier kan een aanvaller volledige controle over de server krijgen en bijvoorbeeld het e-mailverkeer onderscheppen en manipuleren. Op dinsdag 11 februari kwam Microsoft met een beveiligingsupdate voor de kwetsbaarheid. Nu acht maanden later blijken nog altijd duizenden servers niet te zijn geüpdatet, zo stelt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken.

Daar komt bij dat aanvallers actief misbruik van de kwetsbaarheid maken. Vorige maand maakte het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security nog bekend dat overheidsinstanties vaak via vier kwetsbaarheden worden aangevallen, waaronder het Exchange-lek in kwestie.

"Helaas blijven we zien dat gebruikers bestaande beveiligingsupdates maandenlang negeren en dus onnodige maar aanzienlijke risico's nemen. In dit geval is het met name ernstig dat de kwetsbaarheid vanaf het internet is te misbruiken en de benodigde aanvalscode online is verschenen en al is toegevoegd aan bekende aanvalstools", zegt BSI-voorzitter Arne Schönbohm.

Volgens Schönbohm is het de hoogste tijd dat organisaties de beveiligingsupdates gaan installeren. Het Computer Emergency Response Team van de Duitse overheid, CERT-Bund, dat onder het BSI valt, is daarom begonnen met het informeren van Duitse netwerkproviders over de ip-adressen van kwetsbare Exchange-servers in hun netwerk. De provider kan vervolgens klanten waarschuwen dat ze hun Exchange-server moeten updaten.

Deze week liet NBIP, de Nationale Beheersorganisatie Internetproviders, weten dat het een dergelijke rol in Nederland wil gaan vervullen. De organisatie heeft een systeem ontwikkeld dat meldingen van het Nationaal Cyber Security Centrum (NCSC) kan ontvangen en doorzetten naar de betreffende providers (pdf). Het NBIP hoopt dat het systeem in de toekomst kan worden uitgebreid, waarbij het ook meldingen van het NCSC ontvangt over kwetsbaarheden bij klanten van de internetproviders.

Reacties (1)
08-10-2020, 16:06 door Anoniem
Super dat BSI/ CERT-bund dat actief oppakt.
Wel jammer dat het anno2020 nog steeds nodig blijkt.

Prima initatief van NBIP: als dan niemand wat doet, doen zij het wel.
't is wellicht een open deur, maar het zou dan wel wat zijn als daar gelijk STIX TAXI voor wordt gebruikt.
En dat dan gelijk Europees toepassen :)

Sowieso nog altijd vreemd dat een aantal Nederlandse providers het nog niet standaard organiseert voor zichzelf en haar hosting klanten ermee ondersteunt, zodat er meer 'state-of-the-art techniek wordt toegepast en ook dergelijke vulnerabilities addresseert.
Als je een stel providers en klanten bekijkt via www.internet.nl is het bedroevend hoe weinig gewoon de basis '10' scoren, de paar goede niet te na gesproken uiteraard. Gewoon nog steeds TLS1.0 gebruiken, nog IPv4, kreun... Protocollen uit 1998..2004..

En neem bijvoorbeeld BCP38: met een eenvoudige check blijkt dat er nog steeeds providers in Nederland zijn die DDoS op deze manier feitelijk faciliteren: https://spoofer.caida.org/recent_tests.php?as_include=&country_include=nld&no_block=1

Zou mooi zijn als de brancheverenigingen hun leden hier ook op aanspreken, of anders uit de vereniging zetten. Ze beschadigen de Nederlandse weerbaarheid en daarmee onze economie. ( Die het nu toch al zwaar heeft met dat medische virus.)

Een paar kleine aanpassingen en Nederland wordt gelijk een stuk mooier, ja toch, niet dan?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.