Praktijkproef: systemen met kwetsbare software na sluitingstijd gehackt


De IT-experts van Palo Altos Unit42 zetten een netwerk op met 320 honeypots op internet en controleerden hoe lang het duurde voordat de diensten erop werden aangevallen en geïnfiltreerd. Dergelijke systemen worden door onderzoekers gebruikt als lokaas voor cybercriminelen, bijvoorbeeld om hun aanpak te analyseren. Het resultaat, niet onverwacht, maar nog steeds angstaanjagend: na slechts één dag was 80 procent van de honeypots gebarsten.

De Honeynet-knooppunten leverden in gelijke delen diensten zoals het Remote Desktop Protocol (RDP), Secure Shell (SSH), Samba of PostgreSQL. Voor de toegangsgegevens gebruikten de beveiligingsonderzoekers bewust zwakke combinaties van gebruiker-wachtwoord, zoals: admin:admin, guest:guest of administrator:password. De test duurde 30 dagen tussen juli en augustus 2021, waarbij de afzonderlijke honeypots zich bevonden in de regio’s Noord-Amerika, Azië-Pacific en Europa. Nadat een inbraak was gedetecteerd of als een machine niet meer reageerde, werd deze teruggezet naar de oorspronkelijke status.

De eerste succesvolle aanval op SSH duurde gemiddeld ongeveer 3 uur, 8,5 uur op PostegreSQL, 11 uur op RDP en ongeveer 41 uur op de Samba-services. Dit hangt samen met de frequentie van aanvallen, beschrijf de Unit42-onderzoekers in hun artikel over deze test. De gemiddelde waarde verbergt het echte gevaar – volgens het rapport werden immers binnen enkele minuten de eerste systemen gevonden en gecompromitteerd.

Maar er is ook een soort strijd om de infiltreerbare machines. De volgende aanvaller was na vrij gelijke perioden terug op de mat en drong de honeypots binnen. Volgens de onderzoekers van Palo Alto probeerden aanvallers meestal de erfenissen van eerdere indringers te verwijderen, zoals backdoors en malware, en noemden ze in dit verband cryptomining-cyberbendes. Deze gebruiken de gekaapte machines om cryptovaluta’s zoals bitcoins te minen.

De IT-beveiligingsexperts vermelden ook het aantal gemiddelde aanvaller-IP’s dat een honeypot in de 30 dagen heeft gezien. De meeste IP’s probeerden SSH aan te vallen, namelijk 179. Dit werd gevolgd door 50 aanvallers IP’s op RDP, 11 op Samba en 7 op PostgreSQL. Van de waargenomen adressen was ongeveer 85 procent slechts één dag actief, waardoor de aanvallers vaak van startpunt veranderen. Dit betekent dat filterregels voor firewalls die zijn gebaseerd op lijsten met bekende aanvallende IP-adressen niet erg effectief zijn.

Daarnaast was minder dan een vijfde van de IP’s actief op meerdere nodes van Honeynet. Eén aanvaller viel in het bijzonder op: hij nam 96 procent van de 80 wereldwijde PostgreSQL-honeypots in slechts 30 seconden over.

Uit de resultaten van deze test kunnen enkele aanbevelingen worden afgeleid. De responstijden voor het herstellen van zwakke punten zijn te lang als ze dagen of weken duren. In de praktijk is dit ook te zien bij bijvoorbeeld nog niet toegepaste, maar uiterlijk sinds het voorjaar van dit jaar Exchange-updates beschikbaar voor beveiligingslekken die aanvallers gebruiken om in het systeem in te breken. Of de gewone Inbraken in netwerken via niet-geüpdatete VPN-software.

Beheerders moeten nu zeer snel beschikbare beveiligingsupdates installeren, indien nodig tijdelijke oplossingen implementeren of aanvallen op services verminderen, bijvoorbeeld door (gedeeltelijke) shutdowns. Ook is het raadzaam om bijvoorbeeld monitoring in te voeren en de resultaten daarvan regelmatig te controleren. Vaak zijn blootgestelde services ook actief in netwerken die helemaal niet nodig zijn – hier helpt het om ze gewoon uit te schakelen. Last but not least laten de resultaten ook zien dat er goede, complexe wachtwoorden moeten worden gebruikt.


(dmk)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: