image

FBI waarschuwt: verwijder ongebruikte, uitgeschakelde admin-accounts

donderdag 7 september 2023, 16:55 door Redactie, 9 reacties

Organisaties moeten vandaag nog hun ongebruikte, uitgeschakelde accounts verwijderen. Helemaal als het om admin-accounts gaat, zo waarschuwt de FBI. Aanleiding zijn aanvallen door meerdere statelijke actoren die misbruik maken van kwetsbaarheden in Fortinet FortiOS (CVE-2022-42475) en Zoho ManageEngine ServiceDesk Plus (CVE-2022-47966). FortiOS is het besturingssysteem dat op firewalls van Fortinet draait.

Via de kwetsbaarheid kregen de aanvallers controle over de firewall van een organisatie in de luchtvaartsector. Vervolgens werd een eerder uitgeschakeld account van een contractor door de aanvallers gebruikt. Volgens de FBI is het een standaard werkwijze voor de aanvallers om gebruik te maken van uitgeschakelde admin-accounts, alsmede het verwijderen van logbestanden van belangrijke servers, om zo onderzoek naar de aanval en verder misbruik te bemoeilijken.

De FBI roept organisaties op om de twee kwetsbaarheden in kwestie te patchen mocht dat nog niet zijn gedaan en te monitoren op het ongeautoriseerde gebruik van remote access software zoals ConnectWise ScreenConnect, dat de aanvallers gebruiken om verbinding met systemen mee te maken. Verder wordt aangeraden onnodige, uitgeschakelde accounts te verwijderen. "Zorg voor beleid en procedures voor het snel verwijderen van onnodige (uitgeschakelde) accounts en groepen die niet langer binnen de onderneming nodig zijn."

Image

Reacties (9)
07-09-2023, 18:30 door Anoniem
Wat zijn dat dan voor systemen, waarin je uitgeschakelde Admin accounts kunt gebruiken? Ik dacht dat een uitgeschakeld account hetzelfde was als een niet aanwezig account? Om een uitgeschakeld account in te schakelen heb je neem ik aan admin permissie nodig.
07-09-2023, 19:34 door Anoniem
Ik pleit voor een shutdown van het www.
Het systeem is failliet.
07-09-2023, 22:27 door Anoniem
Door Anoniem: Ik pleit voor een shutdown van het www.
Het systeem is failliet.

Inderdaad. Wat lijkt het me heerlijk om zonder een wereld vol met internet en bijkomstigheden te leven. Triest dat het zover moet komen al zeg ik het zelf en dan ben ik nog geeneens de 30 gepasseerd...
08-09-2023, 07:31 door Anoniem
Door Anoniem: Wat zijn dat dan voor systemen, waarin je uitgeschakelde Admin accounts kunt gebruiken? Ik dacht dat een uitgeschakeld account hetzelfde was als een niet aanwezig account? Om een uitgeschakeld account in te schakelen heb je neem ik aan admin permissie nodig.

Staat gewoon in het verhaal, "Fortinet FortiOS"
08-09-2023, 09:04 door Anoniem
Door Anoniem: Wat zijn dat dan voor systemen, waarin je uitgeschakelde Admin accounts kunt gebruiken? Ik dacht dat een uitgeschakeld account hetzelfde was als een niet aanwezig account? Om een uitgeschakeld account in te schakelen heb je neem ik aan admin permissie nodig.

Indien een ander admin account wordt gecompromiteerd is het mogelijk de uitgeschakelede admin accounts weer te activeren
Omdat veelal bij het uitschakelen van de admin accounts de rechten niet worden verwijderd, is de blast radius wanneer zo een account wordt geactiveerd groot.

Omdat het om het her-activeren van een bestaand account gaat, valt dit minder op en wordt hiermee persistence gecreëerd in de omgeving.

Veel dreigingen komen ook vanuit de interne organisatie en niet alleen vanuit externe die de omgeving aanvallen. Het is daarom vrij eenvoudig voor een kwaadwillige beheerder om op deze wijze toegang te behouden tot de omgeving.

Door de accounts te verwijderen wordt deze attack vector deels voorkomen.

Uiteindelijk zouden admin accounts altijd alerting moeten hebben wanneer zij worden gebruikt. En vooral oude (admin) accounts zouden alert moeten geven als die na een x periode inactief zijn geweest, in eens weer worden gebruikt.

En ja, dit geldt niet alleen voor admin account.
08-09-2023, 09:17 door Anoniem
Door Anoniem: Wat zijn dat dan voor systemen, waarin je uitgeschakelde Admin accounts kunt gebruiken? Ik dacht dat een uitgeschakeld account hetzelfde was als een niet aanwezig account? Om een uitgeschakeld account in te schakelen heb je neem ik aan admin permissie nodig.
Ik kan het zo voorstellen dat een uitgeschakeld admin account aangezet kan worden via een account met rechten die minimaal users kan activeren.
08-09-2023, 10:54 door Anoniem
Door Anoniem:
Indien een ander admin account wordt gecompromiteerd is het mogelijk de uitgeschakelede admin accounts weer te activeren
Omdat veelal bij het uitschakelen van de admin accounts de rechten niet worden verwijderd, is de blast radius wanneer zo een account wordt geactiveerd groot.

Omdat het om het her-activeren van een bestaand account gaat, valt dit minder op en wordt hiermee persistence gecreëerd in de omgeving.

Maar dan kan die aanvaller toch gewoon een nieuw account maken in plaats van een uitgeschakeld account inschakelen?
"maar dat valt op" lijkt me geen argument als inschakelen van een uitgeschakeld account niet zou opvallen.
Je ziet nog wel eens dat verhaal "als je het apparaat gekocht hebt moet je (ingelogd als Admin) een nieuw account maken met een unieke naam en dat Admin rechten geven en dan dat Admin account uitschakelen". (niet specifiek voor Fortinet)
Het idee zou dan zijn dat aanvalles die de hele tijd wachtwoorden afschieten op Admin er nooit in komen. Ze zouden dan ook andere accounts moeten proberen, wat dan effectief de lengte van je wachtwoord vergroot. Je kunt net zo goed een langer wachtwoord nemen lijkt me, maar goed.
Echter als dit je standaard policy is, dan valt het toch op als er een enabled Admin account is??? Dwz dat valt je op als je zo nu en dan de user lijst opent. "maar dat doet men nooit" -> ok dan kan die aanvaller gewoon een extra account maken, en snijdt dit hele verhaal dus geen hout.
08-09-2023, 12:20 door Anoniem
"Ik dacht dat een uitgeschakeld account hetzelfde was als een niet aanwezig account? Om een uitgeschakeld account in te schakelen heb je neem ik aan admin permissie nodig."

---> het woord zegt het al: disabled. Om het account te enablen heb je inderdaad admin-rechten nodig. Het is handiger een bestaand admin account te gebruiken, aangezien daar al de nodige permissies aan zijn toegekend.
11-09-2023, 09:25 door Anoniem
Door Anoniem: "het woord zegt het al: disabled. Om het account te enablen heb je inderdaad admin-rechten nodig. Het is handiger een bestaand admin account te gebruiken, aangezien daar al de nodige permissies aan zijn toegekend.

De aanvallers maken er waarschijnlijk gebruik van omdat het minder opvalt, hetzij aan personen of vermeend aan beveiligingssoftware. Het toevoegen van een account valt meer op. Maar de FBI moet eerst eens intern luisteren naar mensen die wel verstand van beveiligen hebben en geen adviezen zoals deze de wereld inslingeren. Er zijn al genoeg stoorzenders in de securitywereld. De echte oplossing is uiteraard de kwetsbaarheid fixen en security monitoring.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.