FBI komt met beveiligingstips voor TeamViewer na aanval op waterzuivering
Organisaties die van het programma TeamViewer gebruikmaken doen er verstandig aan om verschillende beveiligingsopties te gebruiken, om zo misbruik te voorkomen. Dat adviseren de FBI, het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security, het United States Environmental Protection Agency en het Multi-State Information Sharing and Analysis Center (MS-ISAC) naar aanleiding van de aanval op een waterzuiveringsinstallatie in Florida.
De aanvaller wist via TeamViewer toegang tot een beheersysteem van de waterzuivering te krijgen en verhoogde de waarden van het zuiveringsmiddel natronloog naar een potentieel gevaarlijk niveau. Volgens de overheidsinstanties maakte de aanvaller zeer waarschijnlijk gebruik van een slechte wachtwoordhygiëne en een verouderd besturingssysteem dat bij de installatie werd gebruikt.
Eerder meldde de Amerikaanse staat Massachusetts dat alle werkstations van de aangevallen waterzuiveringsinstallatie op het getroffen beheersysteem waren aangesloten en een 32-bit versie van Windows 7 gebruikten. Daarnaast deelden alle computers hetzelfde wachtwoord voor remote toegang en waren zoals het nu lijkt zonder enige firewall direct vanaf het internet toegankelijk.
In de gezamenlijke cybersecurity advisory stellen de overheidsinstanties dat TeamViewer een legitieme tool is, maar in het verleden ook is gebruikt door aanvallers. Tevens is het programma door wraakzuchtige medewerkers te gebruiken. Daarom doen de overheidsinstanties verschillende aanbevelingen voor het beveiligen van TeamViewer.
Zo wordt aangeraden om de opties "Start TeamViewer with Windows" en "Grant easy access" niet te gebruiken. De TeamViewer-service moet daarnaast als 'manual start' worden ingesteld, zodat de applicatie en bijbehorende services niet actief zijn wanneer het programma is gesloten. Verder adviseren de overheidsinstanties om willekeurige alfanumerieke wachtwoorden van tien karakters te gebruiken, dat de host bevestiging moet geven wanneer de remote party meer wil dan alleen meekijken en dat de 'Block and Allow' lijst wordt gebruikt om te bepalen welke gebruikers toegang mogen hebben.
Voor waterzuiveringsinstallaties wordt nog aanvullend advies gegeven, zoals het implementeren van fysieke veiligheidssystemen die voorkomen dat gevaarlijke situaties kunnen ontstaan wanneer een beheersysteem is gecompromitteerd.
Daar had het eerste advies moeten zijn.
Tuurlijk dat kan iedereen snappen maar het gebruik van TeamViewer in dat soort apparatuur is nou juist om op afstand een systeem te benaderen als er bijv problemen zijn of om iets te controleren, en als die service dan niet draait heb je er ook niks aan.
Idem met dat "view only" wat de lokale gebruiker dan eerst moet authorizen voor je screen/keyboard hebt. Nutteloos advies voor dit soort situaties, waar die PC ergens in een donker hok staat waar niemand is.
Turns out that Florida water treatment facility left the doors wide open for hackers
Can you even call this a hack?
https://www.theverge.com/2021/2/10/22277300/florida-water-treatment-chemical-tamper-teamviewer-shared-password
[1] How public water suppliers can guard against cyber-attacks on water supplies.
https://www.mass.gov/service-details/cybersecurity-advisory-for-public-water-suppliers
Turns out that Florida water treatment facility left the doors wide open for hackers
Can you even call this a hack?
https://www.theverge.com/2021/2/10/22277300/florida-water-treatment-chemical-tamper-teamviewer-shared-password
[1] How public water suppliers can guard against cyber-attacks on water supplies.
https://www.mass.gov/service-details/cybersecurity-advisory-for-public-water-suppliers
Dat stond donderdag al op deze website https://www.security.nl/posting/689869/FBI+waarschuwt+voor+misbruik+van+TeamViewer+na+aanval+op+waterzuivering
A Review of Cybersecurity Incidents in the Water Sector
Amin Hassanzadeh [1], Avi Ostfeld [2], et al., revised: 25 Juli 2020
ASCE Journal of Environmental Engineering 146 (2020)
https://arxiv.org/abs/2001.11144
[1] Accenture Labs, Arlington [2] Israel Institute of Technology, Haifa
Daar is gevestigd: Aerospace Engineering IT | Cape Canaveral, FL | Aerodyne Industries
https://www.aerodyneindustries.com
Onderdelen: AEROSPACE • DEFENSE • GOVERNMENT
Het is dat er veranderingen zijn aangebracht in zaken die worden gemonitord...
Wat heeft team viewer hiermee te maken als je al
op je systeem Win 7 draait ?? en al helemaal kers op de taart geen Firewall gebruikt ??
Waar ben je dan mee bezig ??
Als je geen geld hebt om je systeem te updaten gebruik dan een gratis versie van linux ??
ZIt ik nou helemaal verkeerd ???
Wat heeft team viewer hiermee te maken als je al
op je systeem Win 7 draait ?? en al helemaal kers op de taart geen Firewall gebruikt ??
Waar ben je dan mee bezig ??
Als je geen geld hebt om je systeem te updaten gebruik dan een gratis versie van linux ??
ZIt ik nou helemaal verkeerd ???
Met dit verschil dat men met de klassieke UNIX owner en group permissies, en een stel sudo en AppArmor profielen, het voor een buitenstaander praktisch onmogelijk te maken is om TeamViewer überhaupt onder de root of admin account, zonder 2FA-token, op afstand te gebruiken. Een systeem waarop de root account bovendien kan zijn uitgeschakeld.
Met dit verschil dat men met de klassieke UNIX owner en group permissies, en een stel sudo en AppArmor profielen, het voor een buitenstaander praktisch onmogelijk te maken is om TeamViewer überhaupt onder de root of admin account, zonder 2FA-token, op afstand te gebruiken. Een systeem waarop de root account bovendien kan zijn uitgeschakeld.
Top Reactie.
Met Jargon uitleg en al. Mijn complimenten.
Voor wel op afstand noodzakelijke werkzaamheden door de beheerder, met TeamViewer, is het verstandig, naast een sterk gekozen wachtwoord, ook een aparte tweede sleutel toe te passen (dat wordt ook wel een "2FA-token" genoemd, en die steek je daarvoor als een soort fysieke sleutel in een USB-poort).
De rechten van TeamViewer kunnen nog verder worden beperkt, zodanig dat daarmee helemaal niet als Administrator kan worden gewerkt. Beheer op afstand is dan onmogelijk. De beheerder moet dan zelf naar de plaats gaan waar de computer staat. Dat is erg omslachtig, maar meestal wel veel veiliger. De beheerder moet zich dan ter plekke identificeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
