image

CISA: slechte cyberhygiëne geeft aanvallers toegang tot clouddiensten

donderdag 14 januari 2021, 10:06 door Redactie, 6 reacties

Aanvallers maken misbruik van de slechte cyberhygiëne van organisaties om toegang tot hun clouddiensten te krijgen, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het federale agentschap voor cybersecurity is bekend met meerdere organisaties waarvan de cloudomgeving werd gecompromitteerd omdat de digitale beveiliging te wensen overliet.

In één geval maakte de aangevallen organisatie geen gebruik van een virtual private network (vpn) om medewerkers toegang tot het bedrijfsnetwerk te geven. De terminalserver van de organisatie bevond zich wel achter de firewall. Vanwege het thuiswerken was echter poort 80 opengezet om de terminalserver voor medewerkers toegankelijk te maken. Aanvallers maakten hiervan misbruik en wisten door middel van een bruteforce-aanval toegang tot de server te krijgen.

Ook ziet het CISA nog altijd succesvolle phishingaanvallen tegen organisaties. De aanvallers sturen phishingmails die naar een bestandsopslagdienst lijken te wijzen. In werkelijkheid gaat het om een phishingsite. De gegevens die slachtoffers daar invoeren worden vervolgens gebruikt om hun accounts over te nemen. Vanuit deze accounts sturen de aanvallers phishingmails naar andere personen in de aangevallen organisatie.

Aanvallers wijzigen in gecompromitteerde e-mailaccounts ook bestaande doorstuurregels die gebruikers hadden ingesteld om e-mail van bepaalde afzenders naar hun persoonlijke account door te sturen. De aangepaste regel stuurt vervolgens deze e-mails door naar een e-mailadres van de aanvaller. Verder heeft het CISA ook aanvallen gezien waarbij de multifactorauthenticatie werd omzeild. Hierbij zouden de aanvallers browsercookies hebben gestolen om door middel van een "pass-the-cookie" aanval de multifactorauthenticatie te omzeilen.

"Dit soort aanvallen doen zich geregeld voor wanneer het personeel van getroffen organisaties thuiswerkt en een combinatie van bedrijfslaptops en persoonlijke apparaten gebruikt om de respectievelijke clouddiensten te benaderen. Ondanks het gebruik van securitytools was er bij de getroffen organisaties meestal sprake van een slechte cyberhygiëne waardoor aanvallers succesvol konden toeslaan", aldus het CISA.

Reacties (6)
14-01-2021, 10:15 door Anoniem
terminal server port 80? http?
14-01-2021, 10:38 door dvanleur
Door Anoniem: terminal server port 80? http?

De webinterface van een terminal server kan draaien op poort 80.
14-01-2021, 11:41 door Anoniem
Kunnen we alsjeblieft stoppen met het woord cyberhygiëne
14-01-2021, 12:07 door Anoniem
En RDP mag natuurlijk ook zelf op poort 80 draaien. Wordt soms gedaan als iemand moet RDP'en in een omgeving die alleen 80 en 443 uitgaand toestaat. Dat heeft overigens verder niets te maken met een bruteforce want die kun je sowieso doen op RDP als RDP open en bloot op het Internet staat en je geen 2FA hebt. Zie tooltjes zoals crowbar.
14-01-2021, 12:26 door Anoniem
Cyberhygiëne? Mondkapje op, 3 meter afstand houden, cybervaccinatie wellicht?
Men slaat, zoals anoniem van 11:41 aangeeft, al helemaal door.

Gewoon een kwestie van geen goede connectie-beveiliging, downgrade aanvallen mogelijk en dergelijke zaken.
Onvoldoende header security, sri, en andere veiligheidsmaatregelen,
vanwege "voor een dubbeltje op de eerste rang willen zitten of opzettelijke onophoudelijke "security through obscurity".

Die de besluiten nemen hebben er geen verstand van meestal en degenen, die er verstand van hebben,
tellen vrijwel niet mee.

Ik word hier zo moe van, dat die pn*wed toestand maar aanhoudt en er nooit bij wordt verteld,
dat het vaak opzettelijk wordt gedaan.

Corruptie en dit gepland en wel top-down of er moet sprake zijn van grenzeloze incompetentie
(kan ook weer opzettelijk zijn).

Cyberhygiene gaat je niet helpen binnen een bijkans open main stream cyberwar.

Er verandert namelijk niets in het algemene veiligheidsbeeld op de Interwebz infrastructuur.
Dat moet je te denken geven. Zij weten alles en wij horen slechts iets op "need to know" basis.
Ken er voldoende feiten voor.

luntrus
14-01-2021, 21:06 door Anoniem
de rdp gateway op poort 80 unencrypted draaien omdat een gratis certificaat te duur was? Van mij krijg je dan ech geen medelijden als er dan misbruik van gemaakt is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.