FBI waarschuwt: verwijder ongebruikte, uitgeschakelde admin-accounts
Organisaties moeten vandaag nog hun ongebruikte, uitgeschakelde accounts verwijderen. Helemaal als het om admin-accounts gaat, zo waarschuwt de FBI. Aanleiding zijn aanvallen door meerdere statelijke actoren die misbruik maken van kwetsbaarheden in Fortinet FortiOS (CVE-2022-42475) en Zoho ManageEngine ServiceDesk Plus (CVE-2022-47966). FortiOS is het besturingssysteem dat op firewalls van Fortinet draait.
Via de kwetsbaarheid kregen de aanvallers controle over de firewall van een organisatie in de luchtvaartsector. Vervolgens werd een eerder uitgeschakeld account van een contractor door de aanvallers gebruikt. Volgens de FBI is het een standaard werkwijze voor de aanvallers om gebruik te maken van uitgeschakelde admin-accounts, alsmede het verwijderen van logbestanden van belangrijke servers, om zo onderzoek naar de aanval en verder misbruik te bemoeilijken.
De FBI roept organisaties op om de twee kwetsbaarheden in kwestie te patchen mocht dat nog niet zijn gedaan en te monitoren op het ongeautoriseerde gebruik van remote access software zoals ConnectWise ScreenConnect, dat de aanvallers gebruiken om verbinding met systemen mee te maken. Verder wordt aangeraden onnodige, uitgeschakelde accounts te verwijderen. "Zorg voor beleid en procedures voor het snel verwijderen van onnodige (uitgeschakelde) accounts en groepen die niet langer binnen de onderneming nodig zijn."
Het systeem is failliet.
Inderdaad. Wat lijkt het me heerlijk om zonder een wereld vol met internet en bijkomstigheden te leven. Triest dat het zover moet komen al zeg ik het zelf en dan ben ik nog geeneens de 30 gepasseerd...
Staat gewoon in het verhaal, "Fortinet FortiOS"
Indien een ander admin account wordt gecompromiteerd is het mogelijk de uitgeschakelede admin accounts weer te activeren
Omdat veelal bij het uitschakelen van de admin accounts de rechten niet worden verwijderd, is de blast radius wanneer zo een account wordt geactiveerd groot.
Omdat het om het her-activeren van een bestaand account gaat, valt dit minder op en wordt hiermee persistence gecreëerd in de omgeving.
Veel dreigingen komen ook vanuit de interne organisatie en niet alleen vanuit externe die de omgeving aanvallen. Het is daarom vrij eenvoudig voor een kwaadwillige beheerder om op deze wijze toegang te behouden tot de omgeving.
Door de accounts te verwijderen wordt deze attack vector deels voorkomen.
Uiteindelijk zouden admin accounts altijd alerting moeten hebben wanneer zij worden gebruikt. En vooral oude (admin) accounts zouden alert moeten geven als die na een x periode inactief zijn geweest, in eens weer worden gebruikt.
En ja, dit geldt niet alleen voor admin account.
Indien een ander admin account wordt gecompromiteerd is het mogelijk de uitgeschakelede admin accounts weer te activeren
Omdat veelal bij het uitschakelen van de admin accounts de rechten niet worden verwijderd, is de blast radius wanneer zo een account wordt geactiveerd groot.
Omdat het om het her-activeren van een bestaand account gaat, valt dit minder op en wordt hiermee persistence gecreëerd in de omgeving.
Maar dan kan die aanvaller toch gewoon een nieuw account maken in plaats van een uitgeschakeld account inschakelen?
"maar dat valt op" lijkt me geen argument als inschakelen van een uitgeschakeld account niet zou opvallen.
Je ziet nog wel eens dat verhaal "als je het apparaat gekocht hebt moet je (ingelogd als Admin) een nieuw account maken met een unieke naam en dat Admin rechten geven en dan dat Admin account uitschakelen". (niet specifiek voor Fortinet)
Het idee zou dan zijn dat aanvalles die de hele tijd wachtwoorden afschieten op Admin er nooit in komen. Ze zouden dan ook andere accounts moeten proberen, wat dan effectief de lengte van je wachtwoord vergroot. Je kunt net zo goed een langer wachtwoord nemen lijkt me, maar goed.
Echter als dit je standaard policy is, dan valt het toch op als er een enabled Admin account is??? Dwz dat valt je op als je zo nu en dan de user lijst opent. "maar dat doet men nooit" -> ok dan kan die aanvaller gewoon een extra account maken, en snijdt dit hele verhaal dus geen hout.
---> het woord zegt het al: disabled. Om het account te enablen heb je inderdaad admin-rechten nodig. Het is handiger een bestaand admin account te gebruiken, aangezien daar al de nodige permissies aan zijn toegekend.
De aanvallers maken er waarschijnlijk gebruik van omdat het minder opvalt, hetzij aan personen of vermeend aan beveiligingssoftware. Het toevoegen van een account valt meer op. Maar de FBI moet eerst eens intern luisteren naar mensen die wel verstand van beveiligen hebben en geen adviezen zoals deze de wereld inslingeren. Er zijn al genoeg stoorzenders in de securitywereld. De echte oplossing is uiteraard de kwetsbaarheid fixen en security monitoring.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
