image

Log4j-kwetsbaarheid gebruikt voor datadiefstal bij cryptoplatform Onus

woensdag 29 december 2021, 14:41 door Redactie, 7 reacties

De Log4j-kwetsbaarheid is gebruikt bij een aanval op cryptoplatform Onus waarbij de persoonlijke gegevens van twee miljoen gebruikers werden gestolen. Dat laten Onus en securitybedrijf CyStack in een verklaring weten.

Onus is één van de grootste cryptoplatformen in Vietnam en werkt met betaalsoftware van een derde partij genaamd Cyclos. Deze software maakt gebruik van loggingsoftware Log4j en was zodoende ook kwetsbaar. Volgens CyStack maakte een aanvaller misbruik van de Log4j-kwetsbaarheid in de Cyclos-software nog voor de leverancier Onus en andere klanten kon waarschuwen.

Onus installeerde de beveiligingsupdate van Cyclos toen die beschikbaar kwam, maar op dat moment had de aanvaller al gegevens van twee miljoen gebruikers gestolen, stellen de onderzoekers. Het gaat om naam, e-mailadres, telefoonnummer, adresgegevens, KYC-informatie, versleutelde wachtwoorden, transactiegeschiedenis en "andere versleutelde informatie", aldus de uitleg van Onus. De aanvaller, die de gebruikersdata bij Onus claimt te hebben verwijderd, eiste vervolgens vijf miljoen dollar losgeld.

Via de Log4j-kwetsbaarheid kreeg de aanvaller toegang een server van Onus waarop AWS-inloggegevens stonden. Het cryptoplatform had de AWS access key volledige toegang gegeven, waardoor de aanvaller alle S3-buckets van Onus kon compromitteren en verwijderen. De server bevatte daarnaast een script dat periodiek een back-up van de Onus-database naar een S3-bucket maakte. S3 is de cloudopslagdienst van Amazon.

Het back-upscript bevatte de inloggegevens van de database, alsmede back-up SQL-bestanden. Zo kon de aanvaller toegang tot de Onus-database en gebruikersinformatie krijgen. Tevens installeerde de aanvallers een backdoor, aldus CyStack. Onus maakt excuses voor het datalek en noemt het een kans om de veiligheid van de eigen systemen verder te verbeteren en zo de veiligheid van gebruikers te garanderen. De gestolen gebruikersgegevens worden nu te koop aangeboden.

Reacties (7)
29-12-2021, 15:07 door Anoniem
Ik ben een webpagina tegen het lijf gelopen waar een aantal scanners staan om je applicaties en/of servers te testen op de log4j-kwetsbaarheid. Tot nu toe heb ik bij mij nog niets gevonden. Dus ik geef het even door aan de community hier. Ik zou zeggen: doe uw voordeel ermee.

https://cloud7.news/how-tos/log4j-log4shell-vulnerability-scanner/#Huntress-Labs-log4shell-tester
29-12-2021, 16:20 door karma4
Door Anoniem: . Tot nu toe heb ik bij mij nog niets gevonden. Dus ik geef het even door aan de community hier. ...
Dank je maar toch maar niet, Ik klik ook niet op links in emails
29-12-2021, 16:25 door Anoniem
Door karma4:
Door Anoniem: . Tot nu toe heb ik bij mij nog niets gevonden. Dus ik geef het even door aan de community hier. ...
Dank je maar toch maar niet, Ik klik ook niet op links in emails
Heel goed! zou ook wel naief zijn... Wij helpen u van de wal in de sloot met onze gratis scanner. Toe klik hier!
29-12-2021, 17:04 door Anoniem
Door karma4:
Door Anoniem: . Tot nu toe heb ik bij mij nog niets gevonden. Dus ik geef het even door aan de community hier. ...
Dank je maar toch maar niet, Ik klik ook niet op links in emails
Als je een link niet vertrouwt, dan trek je het door VirusTotal linkscanner.
Lijkt me toch niet al te moeilijk.
30-12-2021, 11:23 door Anoniem
Door Anoniem:
Door karma4:
Door Anoniem: . Tot nu toe heb ik bij mij nog niets gevonden. Dus ik geef het even door aan de community hier. ...
Dank je maar toch maar niet, Ik klik ook niet op links in emails
Heel goed! zou ook wel naief zijn... Wij helpen u van de wal in de sloot met onze gratis scanner. Toe klik hier!
Nu komt iemand met een oplossing, en dan krijg je dit soort reacties...
Ondankbaarheid is werkelijk troef hier.
30-12-2021, 13:04 door Anoniem
Niet doen, waarom niet? Kijk https://www.virustotal.com/gui/url/978ab6f8d23269d0539c449982e7dea8673919554770c3330c90818ca4d5c791
Maar ja als er maar 1 vlagt, kan dat ook een FP betekenen.
30-12-2021, 18:01 door Anoniem
voor die mensen hierboven;

hier een scanner van fox-it in python:

https://github.com/fox-it/log4j-finder

less de python code zelf maar voordat je die runt zou ik zeggen....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.