image

Datadiefstal Rode Kruis door vergeten update Zoho ManageEngine

woensdag 16 februari 2022, 14:54 door Redactie, 3 reacties

De aanval op servers van het Internationale Comité van het Rode Kruis (ICRC) waarbij de persoonlijke en vertrouwelijke gegevens van meer dan 515.000 "zeer kwetsbare" personen werden gestolen was mogelijk omdat de organisatie vergeten was een belangrijke beveiligingsupdate voor een kritieke kwetsbaarheid in Zoho ManageEngine te installeren. Dat laat het Rode Kruis in een analyse van het incident weten.

Het beveiligingslek in Zoho ManageEngine ADSelfService Plus, aangeduid als CVE-2021-40539, maakt het mogelijk om op afstand de authenticatie te omzeilen en willekeurige code op de server uit te voeren. ManageEngine ADSelfService Plus is een self-service password management en single sign-on oplossing voor Active Directory en cloud-apps. Het stelt gebruikers onder andere in staat om zelf hun wachtwoord te resetten.

Begin september vorig jaar kwam Zoho met een beveiligingsupdate voor de kwetsbaarheid. Het lek werd op dat moment al aangevallen, waardoor er sprake was van een zogeheten zeroday. Het Rode Kruis had nagelaten de beschikbare beveiligingsupdate te installeren. Daardoor konden aanvallers op 9 november de servers compromitteren. Dit was twee maanden na het uitkomen van de beveiligingsupdate.

De aanvallers gebruikten de kwetsbaarheid voor het installeren van een webshell, om zo toegang tot de servers te behouden en verdere aanvallen uit te voeren. Zo wisten de aanvallers inloggegevens van beheerders te stelen, zich lateraal door het netwerk van het Rode Kruis te bewegen en registry hives en Active Directory-bestanden te stelen. Door het gebruik van niet nader genoemde tools wisten de aanvallers zich als legitieme gebruikers en beheerders voor te doen, waardoor ze toegang tot de persoonsgegevens kregen.

De aanval werd uiteindelijk op 18 januari door het Rode Kruis ontdekt, zo'n zeventig dagen nadat de aanvallers de systemen waren binnengedrongen. Naar aanleiding van het incident zijn verdere maatregelen genomen, zoals de implementatie van een nieuw tweefactor-authenticatieproces en het gebruik van een "advanced threat detection solution". Verder mogen alle applicaties en systemen pas na een succesvolle, externe penetratietest weer online.

Reacties (3)
16-02-2022, 17:55 door Anoniem
Daardoor konden aanvallers op 9 november de servers compromitteren
En als je dan verder leest:
De aanval werd uiteindelijk op 18 januari door het Rode Kruis ontdekt
Er was dus wel meer aan de hand dan alleen maar een 'vergeten update' te installeren.
17-02-2022, 09:59 door Anoniem
Door Anoniem:
Daardoor konden aanvallers op 9 november de servers compromitteren
En als je dan verder leest:
De aanval werd uiteindelijk op 18 januari door het Rode Kruis ontdekt
Er was dus wel meer aan de hand dan alleen maar een 'vergeten update' te installeren.
Klopt, er werden webshells geïnstalleerd. Eenmaal dat je in een systeem binnen bent met voldoende rechten, kun je van alles uithalen. Heb je toegang tot het beheer van gebruikers, kun je zelf nieuwe gebruikers aanmaken met voldoende rechten om remote in te loggen. Die 8 januari kan dan de dag zijn, waarop een audit van die groep gebruikers de aanwezigheid daarvan aantoonde en men dus wist dat het gebeurd was. Een grote organisatie kan niet elke dag kijken of iedereen met remote access dit ook nodig heeft. Zelfs wanneer ik vandaag een overzicht van die gebruikers uitdraai, duurt het een tijd voor dit van iedereen is gecontroleerd.
18-03-2022, 11:17 door Anoniem
Nederlandse onderzoekers scannen 35.000 goede doelen op kwetsbaarheden
vrijdag 18 maart 2022, 10:47 door Redactie

https://www.security.nl/posting/747048/Nederlandse+onderzoekers+scannen+35_000+goede+doelen+op+kwetsbaarheden
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.