image

FBI: overheidsinstanties aangevallen via lekken in Fortinet VPN, Exchange en Citrix

vrijdag 23 oktober 2020, 08:59 door Redactie, 4 reacties

Amerikaanse overheidsinstanties en luchtvaartbedrijven zijn de afgelopen maanden aangevallen via bekende kwetsbaarheden in Fortinet VPN, Exchange en Citrix, waarbij het de aanvallers ook lukte om netwerken te compromitteren en data te stelen. Dat melden de FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA).

Volgens de FBI en het CISA zijn de aanvallen het werk van een door Rusland gesponsorde groep aanvallers die onder andere bekend staat als Berserk Bear, Energetic Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti en Koala. De groep probeert onder andere via SQL-injection en bruteforce-aanvallen tegen websites en webapplicaties toegang tot webservers te krijgen.

Daarnaast maakt de groep ook gebruik van bekende kwetsbaarheden in Citrix, Microsoft Exchange en Fortinet VPN om systemen te compromitteren. Via het "Zerologon-lek" in Windows wordt er vervolgens toegang tot de Windows Active Directory (AD) servers verkregen. Sinds oktober hebben de aanvallers bij zeker twee slachtoffers data weten te stelen, zo laten de FBI en het CISA verder weten.

Het gaat dan om documenten met gevoelige netwerkconfiguraties en wachtwoorden, standaard operatieprocedures, zoals het aanmelden voor multifactorauthenticatie, instructies voor het aanvragen van wachtwoordresets, informatie over leveranciers en inkoopbeleid en het printen van toegangsbadges.

Organisaties krijgen het advies om al hun software up-to-date te houden, maar met name te controleren of ze de beveiligingsupdates voor hun Citrix-, Windows-, Exim- en Fortinet-systemen hebben geïnstalleerd. De FBI en het CISA geven verder informatie over ip-adressen en domeinnamen die de aanvallers gebruiken en wat gecompromitteerde organisaties moeten doen, zoals het uitvoeren van omvangrijke accountresets.

Reacties (4)
23-10-2020, 10:54 door Anoniem
Dat is een beetje als huilen wanneer de inbrekers je huis leeg halen omdat je de sleutels in het slot liet zitten. Die lekken hadden onderhand wel eens gepatched mogen zijn.
23-10-2020, 10:56 door Anoniem
20k nederlandse ambtenaren kijken nu naar hun inlogscherm. Whut?
23-10-2020, 20:18 door Anoniem
Door Anoniem: 20k nederlandse ambtenaren kijken nu naar hun inlogscherm. Whut?

Das een hele afwisseling naar buiten kijken ...
24-10-2020, 00:36 door Anoniem
Door Anoniem: Dat is een beetje als huilen wanneer de inbrekers je huis leeg halen omdat je de sleutels in het slot liet zitten. Die lekken hadden onderhand wel eens gepatched mogen zijn.
+1 , Wel grappig dat specialisten van deze instanties altijd alles beter weten en zelfs klanten leren zich te weren tegen zerodays. roflmao
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.