VS beschuldigt Rusland van aanvallen op Zimbra- en TeamCity-servers
De Russische geheime dienst SVR heeft vorig jaar aanvallen uitgevoerd op kwetsbare Zimbra- en TeamCity-servers, zo stellen de Amerikaanse en Britse autoriteiten in een waarschuwing (pdf). Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt.
Bij de aanvallen zou de SVR gebruik hebben gemaakt van een kwetsbaarheid aangeduid als CVE-2022-2794. Het beveiligingslek maakt command injection op de mailserver mogelijk. Volgens de FBI, NSA en het Britse National Cyber Security Centre (NCSC) zijn wereldwijd honderden mailservers aangevallen. Via de aanval kregen de aanvallers toegang tot inloggegevens van gebruikers van deze mailservers.
Daarnaast zou de Russische geheime dienst ook aanvallen op JetBrains TeamCity-servers hebben uitgevoerd. TeamCity is een platform voor softwareontwikkeling, met wereldwijd meer dan dertigduizend klanten, aldus ontwikkelaar JetBrains. Het platform wordt onder andere gebruikt voor het compileren, builden, testen en uitbrengen van software. Via de aangevallen kwetsbaarheid (CVE-2023-42793) kan een aanvaller willekeurige code op kwetsbare servers uitvoeren.
De autoriteiten stellen dat vorig jaar TeamCity-servers van hostingbedrijven, softwarebedrijven, energiehandelsorganisaties en it-bedrijven zijn aangevallen. Daarnaast zou de SVR ook gebruik hebben gemaakt van Microsoft Teams voor het uitvoeren van social engineering-aanvallen. De aanvallers hadden het voorzien op slecht beveiligde 'Microsoft customer tenants' van kleine bedrijven, waarbij ze zich voordeden als supportmedewerker. Via social engineering werd geprobeerd om accounttoegang te krijgen. Vervolgens werd via de gecompromitteerde accounts het daadwerkelijke doelwit aangevallen.
De Amerikaanse en Britse autoriteiten geven in de waarschuwing ook adviezen, zoals het tijdig installeren van beveiligingsupdates, het gebruik van multifactorauthenticatie, inschakelen van logging en het handhaven van het principe van 'least-privileged access'.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.