Skip to main content

WakeUp Wednesday

Door 21 april 2021 Kwetsbaarheid

Welkom bij #WakeUpWednesday. We willen zoveel mogelijk mensen wakker schudden en bewust maken van eventuele risico’s op het gebied van cybersecurity. Ons doel is om Nederland digitaal veilig en weerbaar maken. Daarom geeft Tesorion je vanaf nu elke woensdag in een post een kort overzicht over kwetsbaarheden of hacks die nationale of internationale aandacht hebben gekregen.

Natuurlijk berichten we direct over belangrijke kwetsbaarheden en mogelijkheden om deze te mitigeren. Onze #WakeUpWednesday is een soort terugblik.

#WakeUpWednesday 21 april 2021

De afgelopen dagen zijn er weer meerdere kwetsbaarheden bekendgemaakt.

Pulse Secure waarschuwt voor een lek in Pulse Connect Secure, een oplossing die wordt gebruikt voor VPN-verbindingen. Deze kwetsbaarheid (CVE-2021-22893) wordt als zeer kritiek beschouwd en momenteel ook actief aangevallen. Cybercriminelen kunnen op afstand kwetsbare vpn-servers overnemen, de blog van FireEye beschrijft een aantal scenario’s. Momenteel is er nog geen patch beschikbaar voor deze kwetsbaarheid, de beveiligingsupdate wordt in mei verwacht. Wel zijn er mitigerende maatregelen die kunnen worden genomen. Lees voor de laatste info ook onze liveblog

Daarnaast zijn er ook drie kwetsbaarheden gepubliceerd die betrekking hebben op SonicWall Email Security. Met name CVE-2021-20022 is ernstig, deze kan er voor zorgen dat een aanvaller met een http-pakket aan administratoraccount kan aanmaken. Ook deze kwetsbaarheden worden momenteel actief gebruikt. Voor deze kwetsbaarheden is 19 april een patch uitgebracht.

We kunnen het niet vaak genoeg zeggen: installeer updates en security patches. Niet alleen voor je operating systeem, of bedrijfssoftware maar ook voor bijvoorbeeld je browser. Zowel voor Microsoft Exchange als voor Google zijn er afgelopen week ook weer belangrijke patches vrijgeven!

Microsoft Exchange: Zoals afgelopen week al aangegeven zijn er twee nieuwe zeer ernstige lekken bekendgemaakt waar patches voor beschikbaar zijn.
Google: Er zijn een aantal kwetsbaarheden heeft verholpen in de Chrome-browser. Een ongeauthenticeerde kwaadwillende kan op afstand de kwetsbaarheden mogelijk misbruiken om willekeurige code uit te voeren of toegang te krijgen tot gevoelige gegevens in de context van de applicatie. Hiertoe dient de kwaadwillende het slachtoffer ertoe te bewegen een malafide webpagina te bezoeken. Google heeft aangegeven dat voor de verholpen kwetsbaarheden exploit-code in omloop is.

Ook afgelopen week waren er weer meerdere datalekken. Misschien wel het grootste lek sinds tijden werd geconstateerd bij allekabels.nl. Het gaat daarbij om ruim 3,6 miljoen klantgegevens.
Een ander opvallend lek was dat van vastgoedbedrijf Heijmans. Hier werd per ongeluk een mail verstuurd naar belangstellenden voor een woning in een nieuwbouwproject, met bijgevoegd een Excelbestand met daarin de persoonsgegevens van ruim 1100 andere belangstellenden. Het Excelbestand was helaas niet voorzien van bijvoorbeeld een wachtwoord, waardoor de gegevens door iedereen waren in te zien.

Je digitale beveiliging is essentieel. Een belangrijk detail daarbij is om ook je fysieke beveiliging daarbij niet uit het oog te verliezen. Afgelopen week werd bijvoorbeeld een harde schijf gestolen bij het belastingpand Amsterdam met data van 30.000 personen. De schijf bevat scans van documenten die in de periode juli 2020 tot en met maart 2021 per post zijn verstuurd door circa 30.000 belastingplichtigen. Wees alert op welke data er op externe datadragers staat en waar je deze opbergt!

Het maken van backups is erg belangrijk en zeker als het je meest bedrijfskritische data betreft kan het essentieel zijn voor het voortbestaan van je organisatie. Zorg er daarbij voor dat je van deze data ook een offline backup maakt! Wij zien regelmatig dat deze backups online gemaakt worden en in het geval van ransomware samen met de originele data wordt meegenomen in de encryptie!

#WakeUpWednesday 14 april 2021

In navolging van de kritieke kwetsbaarheden afgelopen maand in Microsoft Exchange (Hafnium), zijn via Patch Tuesday van Microsoft security patches uitgegeven voor nieuw gevonden kritieke kwetsbaarheden. Deze kwetsbaarheden zijn aangetroffen in Microsoft Exchange Server 2013, 2016 en 2019. Klanten van Exchange online zijn reeds beschermd. Via Remote Code Execution kan een kwaadwillende willekeurige code uitvoeren op het systeem. Op dit moment zijn er nog geen directe aanwijzingen dat er exploits beschikbaar zijn. Vanuit Tesorion adviseren wij om zo spoedig mogelijk te patchen.

Doordat een logistiek dienstverlener getroffen is door een aanval met gijzelsoftware zijn er problemen ontstaan met het bevoorraden van Albert Heijn. Hierdoor waren er lege schappen op de kaasafdeling. Zelfs indien een deel van de organisatie getroffen is, blijkt de schade in de rest van de keten aanzienlijk.

Nadat er al eerder wat problemen waren met Zoom, blijken ethical hackers afgelopen week een nieuwe kwetsbaarheid te hebben ontdekt. Deze kwetsbaarheid stelt kwaadwillenden in staat om de besturing over te nemen, ook als Zoom op dat moment niet in gebruik is.

Werd vorige week bekend dat er data van Facebookgebruikers te koop worden aangeboden, deze week blijkt er data van gebruikers van Clubhouse openbaar is gemaakt. De dataset is via scraping tot stand gekomen. Volgens Cybernews zijn de gegevens van 1,3 miljoen gebruikers gecombineerd. Clubhouse is een relatief nieuwe social media app om met verschillende mensen gesprekken te voeren (en te luisteren). Live gesprekken zonder beeld en chatfunctionaliteit. Clubhouse lag overigens al eerder onder vuur, mede vanwege het feit dat je je adresboek moet delen om anderen uit te kunnen nodigen.

#WakeUpWednesday 7 april 2021

Privacy is een groot goed dat tegenwoordig al lang niet meer alleen over compliance gaat. Het is een fundamenteel mensenrecht waar je als organisatie mee wordt geconfronteerd. Mede door de invoering van de AVG betekent dit dat je als organisatie ook de plicht hebt om snel en zorgvuldig te handelen als je slachtoffer wordt van een datalek. Te laat melden kan aanzienlijke kosten met zich meebrengen, zo ondervond Booking.com. De boete bedroeg in dit geval 475.000 Euro.

Ook het aantal datalekmeldingen dat de overheid afgelopen jaar meldde bij de Autoriteit Persoonsgegevens nam met 13 procent toe ten opzichte van het jaar daarvoor. De toename kan echter door de minister nog niet verklaard worden.

Ook Facebook kwam afgelopen week in de media met de mededeling dat gegevens van 533 miljoen gebruikers zijn gelekt, waarvan 5,4 miljoen Nederlanders. De gegevens stammen uit 2019 en konden worden gestolen via een lek dat inmiddels is gedicht. De informatie, waaronder volledige naam, telefoonnummer en geboortedatum wordt momenteel gratis aangeboden.

In het algemeen is het credo: Wees je bewust van je onlineactiviteiten en welke informatie je deelt met derden (ook op social media). Nog steeds werken veel mensen vanuit huis. Het is daarbij belangrijk om je bewust te zijn van het feit dat spam nog steeds een van de meest gebruikte manieren is door cybercriminelen om malware te verspreiden. Daarbij komen er ook nog steeds nieuwe malware varianten op de markt.

De volgende punten zijn daarom nog steeds belangrijk om je te realiseren:

  • Installeer je security updates zodra die binnenkomen;
  • Update je virusscanner en spamfilter;
  • Krijg je mail in je inbox van een onbekende afzender, open deze dan niet;
  • Zorg dat je weet hoe je malafide e-mails kan herkennen;
  • Klik niet op linkjes en laat geen persoonlijke gegevens achter;
  • Zorg dat je weet wat je moet doen, mocht je wel getroffen worden door malware.

De FBI heeft deze week gewaarschuwd voor het gebruik van FortiOS kwetsbaarheden. Geavanceerde aanvallers zijn gedetecteerd, die gebruik maken van de CVE’s CVE-2018-13379, CVE-2020-12812 en CVE-2019-5591. Er wordt door deze groepen op poorten 4443, 8443, en 10443 gescand. Voor meer informatie, zie het bericht van de FBI.

Op 31 maart was het World Backup Day. Een dag om mensen aan het belang van het maken van backups te herinneren. Backups zijn een essentieel onderdeel van een goed cybersecuritybeleid. In het geval van ransomware kan het soms zelfs de enige optie zijn om op terug te vallen.

#WakeUpWednesday 31 maart 2021

Ondanks alle aandacht die er is geweest voor het patchen van Microsoft Exchange zijn er nog steeds organisaties die dit hebben nagelaten. Zoals we op 12 maart al aangaven zijn er cybercriminelen die deze kwetsbaarheid hebben benut voor het plaatsen van ransomware. Deze ransomware wordt momenteel actief ingezet.

Wat veel organisaties over het hoofd lijken te zien is dat patchen wel de kwetsbaarheid verhelpt, maar geen oplossing biedt als cybercriminelen al binnen zijn! Momenteel wordt er via backdoors ransomware geplaatst op servers die inmiddels gepatcht zijn, maar die EERDER wel kwetsbaar waren. Daarnaast is ook een toename te zien van het aantal hacks op webshells. Het is daarom belangrijk om niet alleen te patchen, maar ook je systemen te scannen!

Andere kwetsbaarheden die momenteel actief gebruikt worden door cybercriminelen zijn kwetsbaarheden in het BIG-IP platform van F5. Dit platform wordt veel gebruikt voor onder andere load balancing van (web)servers en (web) application delivery systemen. De kwetsbaarheden zijn twee weken geleden gemeld, een patch is beschikbaar.

Dat data grof geld waard is voor cybercriminelen blijk ook wel uit het recente datalek bij RDC

De privégegevens van mogelijk miljoenen Nederlandse autobezitters zijn gestolen en worden te koop aangeboden op internet. Volgens de NOS gaat het om informatie zoals naam, adresgegevens, e-mailadressen en geboortedata. De gegevens zijn buitgemaakt bij RDC, een ict-dienstverlener voor autobedrijven.

#WakeUpWednesday 24 maart 2021

De afgelopen week is er opnieuw veel aandacht besteed aan de Exchange kwetsbaarheden. Toch is dat niet het enige cybersecuritynieuws van de afgelopen week. Wat gebeurde er nog meer:

Het onderzoeksrapport rondom de hack bij Hof van Twente is gepubliceerd met als belangrijke leermomenten onder andere de kwetsbaarheid door zwakke wachtwoorden. Zorg dus voor definities rondom wachtwoordinstellingen die verder gaan dan 8 karakters, een hoofdletter en afwisseling tussen numeriek en alfanumeriek. Daarnaast waren ook fouten in de netwerkconfiguratie en te veel aannames debet aan deze hack.

Ander opvallend nieuws: Gevangenis moet 600 sloten veranderen door één WhatsApp-foto van stagiair. Gedrag en bewustzijn speelt een belangrijke rol, zowel offline als online. De stagiair uit dit artikel was zich niet bewust dat het delen van een afbeelding van een loper-sleutel voldoende is om het profiel te dupliceren. Maak medewerkers daarom bewust van de mogelijkheden die er ontstaan als er werk gerelateerde afbeeldingen op social media worden gedeeld. Aan het begin van de coronacrisis deelden we bijvoorbeeld massaal afbeeldingen van  online meetingen. In een aantal gevallen met de toegangscode voor de meeting in beeld.

#WakeUpWednesday 17 maart 2021

Was verreweg de grootste hack in het nieuws van afgelopen week. Vier kwetsbaarheden in on-premise Exchange (OWA) servers 2013, 2016 en 2019, niet in O365. Daders zijn (Chinese) state sponsored hackers Hafnium, misbruik door meer dan 10 APT partijen. Er zijn patches die goed moeten worden uitgevoerd, anders werken ze niet. Er wordt niet genoeg gepatched, veel systemen staan nog open. De Zero Day kwetsbaarheid wordt al maanden op grote schaal misbruikt (100.000+ wereldwijd). Met tooling kan je achterhalen of je Exchange is misbruikt, niet wat ze hebben gedaan.

Impact is enorm en het kan nog jaren duren voordat we de impact duidelijk is. Wel is duidelijk dat nu ransomware wordt uitgerold bij organisaties. Bedrijven, universiteiten, banken, overheden alles en iedereen is geraakt.

Belangrijkste voor organisaties is nu om hun omgeving te patchen en te scannen. Tesorion kan je helpen.