FBI waarschuwt voor inbraken via VPN-software


De FBI heeft een onderzoek gepubliceerd naar aanvallen waarbij cybercriminelen kwetsbaarheden in VPN-software misbruikten om in netwerken in te breken en zich daar uiteindelijk in te vestigen. In het specifieke geval bood de geanalyseerde kwetsbaarheid toegang tot een onbeperkte functie voor het uploaden van bestanden waarmee aanvallers een webshell konden uploaden voor verdere activiteiten met rootrechten.

Het misbruiken van beveiligingslacunes, bijvoorbeeld in VPN-oplossingen om in netwerken in te breken, behoort inmiddels tot het standaardrepertoire van cyberbendes. Al meer dan een jaar staat deze vooraan in de gezamenlijk samengestelde lijst van de meest frequent misbruikte kwetsbaarheden het Amerikaanse CISA, het Australische ACSC, het NCSC in het Verenigd Koninkrijk en de FBI.

De forensische wetenschappers van de FBI hebben aanvallen op de momenteel onderzochte kwetsbaarheid kunnen herleiden tot in ieder geval mei 2021. Volgens de gedetailleerde analyse hebben de aanvallers ze gebruikt voor geavanceerde persistente bedreigingsaanvallen (APT) – dat wil zeggen, het netwerk binnensluipen, erin vast komen te zitten, lange tijd onopgemerkt actief blijven en zich verplaatsen. Dergelijke groepen beginnen meestal met dergelijke netwerkinfiltratie, bijvoorbeeld om toegang te krijgen tot ongeautoriseerde gegevens of om losgeld af te persen door ransomware binnen te smokkelen.

In de waarschuwing noemt de FBI de VPN-software FatPipe WARP, MPVPN en IPVPN als getroffen. De nieuwste versies 10.1.2r60p93 en 10.2.2r44p1 zouden de beveiligingslekken moeten dichten. Softwaregebruikers kunnen de bijgewerkte versies verkrijgen bij de fabrikant.

Beveiligingsonderzoekers van Claroty hebben inmiddels beveiligingslacunes ontdekt in VPN-oplossingen op basis van OpenVPN, die vooral in industriële omgevingen worden gebruikt. Sommige hiervan kunnen als kritiek worden geclassificeerd en stellen aanvallers ook in staat kwaadaardige code binnen te smokkelen.

De hiaten zijn blijkbaar gebaseerd op de OpenVPN-service die lokaal wordt uitgevoerd in de SYSTEEM-context. De gebruikersinterface daarentegen werkt met lage rechten en stuurt zijn opdrachten naar deze service in platte tekst en zonder authenticatie. Toepassingen kunnen daarom kwaadwillig gemanipuleerde configuraties aan de service opleggen en elke code uitvoeren met de rechten van de service – d.w.z. SYSTEEM. Dat is hoe het beschrijft een collectief rapport van VDE-CERT over mbDIALUP (CVE-2021-33526). Dit kan bijvoorbeeld met een JavaScript-link op een website waarop een gebruiker van de software klikt.

Een tweede kwetsbaarheid in mbDIALUP maakte het mogelijk (CVE-2021-33527) om commando’s naar het besturingssysteem te sturen. De versies mbDIALUP 3.9R0.0 en nieuwer dichten de beveiligingslekken.

Vergelijkbaar Siemens dicht beveiligingslacunes met mogelijke uitbreiding van rechten in SINEMA Remote Connect Client met versie V3.0 SP1 en nieuwer (CVE-2020-14498). Gebruikers van de HMS eCatcher VPN-oplossing moeten updaten naar versie 6.5.5 of nieuwer, om deze fouten glad te strijken (CVE-2020-14498). Eindelijk de Claroty-beveiligingsonderzoekers gevonden dergelijke hiaten bestaan ​​nog steeds in de PerFact OpenVPN-client (CVE-2021-27406).

Ook in industriële omgevingen moeten beheerders de gebruikte softwareoplossingen up-to-date houden om succesvolle aanvallen op de infrastructuur en mogelijk grote materiële schade te voorkomen. U moet nu de gebruikte VPN-oplossingen controleren om ervoor te zorgen dat ze up-to-date zijn en, indien nodig, beveiligingsupdates onmiddellijk uitrollen.


(dmk)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: