image

Honderden kwetsbare R1Soft back-upservers voorzien van backdoor

woensdag 22 februari 2023, 12:17 door Redactie, 2 reacties

Aanvallers zijn erin geslaagd om honderden servers waarop de R1Soft Server Backup Manager draait te voorzien van een backdoor en via de software verbonden clients aan te vallen. Dat stelt securitybedrijf Fox-IT op basis van eigen onderzoek. Server Backup Manager is een oplossing waarmee organisaties back-ups van werkstations en andere systemen binnen hun netwerk kunnen maken. Hiervoor wordt er een "agent" op de systemen geïnstalleerd die met verhoogde rechten draait en voor de connectie met de back-upserver zorgt.

Vorig jaar mei verscheen er een beveiligingsupdate voor een kwetsbaarheid in het ZK Java Framework (CVE-2022-36537). De R1Soft Server Backup Manager blijkt van het ZK Framework gebruik te maken en onderzoekers demonstreerden afgelopen oktober hoe de kwetsbaarheid is te gebruiken om de authenticatie te omzeilen en vervolgens willekeurige code uit te voeren op de server en alle verbonden agents.

Fox-IT deed naar eigen zeggen onderzoek bij een organisatie waar de aanvallers via een kwetsbare back-upserver waren binnengedrongen en vervolgens toegang tot verbonden systemen hadden gekregen. Verder onderzoek wees uit dat de aanvallers al op 29 november misbruik van de kwetsbaarheid hadden gemaakt. Op 9 december verschenen er proof-of-concept exploits voor het beveiligingslek.

Op kwetsbare back-upservers installeerden aanvallers een malafide driver die als backdoor fungeert. Onderzoekers ontdekten vorige maand 286 R1Soft-servers die van de backdoor waren voorzien. Het grootste deel daarvan werd in de Verenigde Staten, Zuid-Korea en het Verenigd Koninkrijk aangetroffen. Fox-IT waarschuwde het Nationaal Cyber Security Centrum (NCSC), dat vervolgens nationale Computer Emergency Response Teams informeerde, zodat die weer de getroffen organisaties konden inlichten. Hierdoor is het aantal back-upservers met een backdoor inmiddels naar 146 gedaald.

Reacties (2)
22-02-2023, 13:28 door Anoniem
Over het algemeen zou je verwachten dat corporate backup software uit 3 delen bestaat:
1. de Client, die vooraf is ingesteld en zelf regelt wat er gebackupped word.
2. de Server, die de backup files veilig opslaat en synchroon houd.
3. de Manager, die netjes logd en rapporteert wanneer er iets mis is. (geen backups meer van apparaat X bijvoorbeeld)

Die server en manager zou nooit de macht over de clients moeten krijgen.
Hooguit zou de Manager tegen de client moeten kunnen zeggen om bepaalde bestanden te restoren.
(En dan zou de Client dat bij de eindgebruiker moeten bevestigen!)
22-02-2023, 20:50 door Anoniem
NIet verbazingwekkend.

Op basis van mijn email communicatie velen jaren geleden met deze toko, werd het me al duidelijk dat deze toko vooral bezig is met producten verkopen, en niet zo zeer met security
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.