Enkele honderden Nederlandse bedrijven gebruiken kwetsbare SolarWinds-software

In de Benelux maken nog zeker enkele honderden bedrijven gebruik van kwetsbare versies van SolarWinds Orion-software. Of die bedrijven ook getroffen zijn door de geavanceerde hack van eerder deze week, is niet bekend, zegt de grootste SolarWinds-distributeur van Nederland.

In Nederland en België gebruiken nog 'enige honderden bedrijven' de kwetsbare software van SolarWinds, zegt Donald Bakels van Adfontes tegen Tweakers. Adfontes is de grootste distributeur van SolarWinds-producten in Nederland. Afgelopen maandag werd bekend dat hackers via de netwerkmonitoringtool Orion verschillende Amerikaanse overheidsinstellingen en bedrijven hebben aangevallen. Dat gebeurde door een achterdeur te installeren in versies van de software die tussen maart en juli van dit jaar zijn uitgebracht.

Adfontes heeft volgens Bakels tegen de duizend klanten in Nederland en België. Daarvan draaien naar schatting dus enkele honderden nog de kwetsbare versies van Orion. "Iedereen is wel alert, klanten zijn bezorgd", zegt hij. Sinds maandag komen er veel telefoontjes van bezorgde klanten binnen bij het bedrijf. De recentere versies van de Orion-software zouden de kwetsbaarheid niet meer bevatten en SolarWinds heeft daarnaast dinsdagavond een extra beveiligingspatch uitgebracht die klanten kunnen installeren.

Bakels benadrukt dat het gebruik van de kwetsbare software niet meteen betekent dat de bedrijven ook daadwerkelijk zijn gehackt. "Dat is niet bekend, klanten zijn op dit moment aan het onderzoeken. Ook SolarWinds zelf zoekt dat nog uit."

Om welke bedrijven het precies gaat, is ook niet bekend. Wel zegt Bakels dat SolarWinds-software in de laatste jaren veel populairder is geworden in Nederland. "Je ziet steeds vaker dat grote partijen volledig overstappen op deze software. SolarWinds is populair omdat het voor een hele ict-infrastructuur kan worden opgezet, dus voor zowel het monitoren van servers als databasemanagement. Bovendien is de software heel schaalbaar."

Juist doordat Orion zo allesomvattend is, blijkt het nu een gewild doelwit voor hackers. Wat die precies met de hacks willen, is vooralsnog niet bekend. Volgens bronnen van Reuters gaat het om Russische staatshackers die de netwerken binnendringen om te spioneren.

SolarWinds zegt zelf, op een inmiddels verwijderde pagina, dat onder andere grote telecomproviders, het Amerikaanse leger, universiteiten en het overgrote merendeel van de 500 invloedrijkste bedrijven in Amerika gebruikmaken van de software. In Nederland gaat het niet alleen om grote bedrijven, zegt Bakels, maar ook om kleinere bedrijven. "De software is ook populair in het mkb en zelfs bij eenmanszaken."

Op de website van Adfontes staat dat het SolarWinds-software levert aan verschillende ziekenhuizen en Nederlandse gemeenten, maar ook aan bedrijven zoals ING en Interpolis. Of die specifieke bedrijven van de kwetsbare software gebruik maken, is niet bekend.

Door Tijs Hofmans

Redacteur

16-12-2020 • 11:15

76 Linkedin

Reacties (76)

Wijzig sortering
Als de NSA Cybersecurity Chief met zijn vrouw zijn Corona-vakantie in de EU (betaald door de USA belastingbetalers) en een geplande privé rondleiding in het Louvre afbreekt....dan is er flink wat stront aan de knikker.

Blijkt dus dat diverse overheidsdiensten al enige maanden gecompromitteerd zijn door deze lek.
White House National Security Adviser O’Brien Cuts Trip Short to Address SolarWinds Hack
O’Brien will hold meetings Tuesday and Wednesday to address suspected Russian hack of U.S. government agencies


WASHINGTON—White House national security adviser Robert O’Brien has cut short a multicountry trip to Europe to return to the U.S. to address the suspected Russian hack of government agencies, signaling growing alarm within the Trump administration about a cyber espionage campaign considered potentially one of the most damaging in years.
Bron: https://www.wsj.com/artic...larwinds-hack-11608072596

[Reactie gewijzigd door kwakzalver op 16 december 2020 12:07]

Zou me niet verbazen als NSA verantwoordelijk is voor de dll met backdoor en dat anderen dat trucje hebben gevonden en gebruikt.

In 2015 is iets dergelijks gevonden bij VPN's van Juniper.

https://www.wired.com/201...partially-the-nsas-fault/
Evidence uncovered by Ralf-Philipp Weinmann, founder and CEO of Comsecuris, a security consultancy in Germany, suggests that the Juniper culprits repurposed an encryption backdoor previously believed to have been engineered by the NSA, and tweaked it to use for their own spying purposes.
Ja, daar heb je tegenwoordig hele systemen en sectoren voor. Kijk maar eens naar SIEM of zo. En die komen met zijn allen met een "SupplyChain Attack". lol, het moet niet gekker worden 8)7

2 unauthorized backdoors in Juniper firewalls, including one that allows the attackers to decrypt protected traffic passing through.
They did this by exploiting weaknesses the NSA allegedly placed in a government-approved encryption algorithm known as Dual_EC, a pseudo-random number generator that Juniper uses to encrypt traffic passing through the VPN in its NetScreen firewalls.
But in addition to these inherent weaknesses, the attackers also relied on a mistake Juniper apparently made in configuring the VPN encryption scheme in its NetScreen devices, according to Weinmann and other cryptographers who examined the issue.

[Reactie gewijzigd door Bulkzooi op 17 december 2020 21:36]

Dit is echt wel heel ernstig hoor, die backdoor zit er al maanden in.
Stel je patched de server, dan is de backdoor weg. Echter wie zegt dat de aanvallers in de afgelopen maanden niet allang naar de volgende server zijn gehopt?

Een solarwinds server doet namelijk health status uitlezen, vaak dmv windows domain accounts. Een IT beheerders zijn vaak lui dus wordt daar ook wel eens een domain admin account voor gebruikt om bv WMI uit te lezen. Als ze op je solarwinds server zitten, dan hebben ze ook toegang tot deze accounts (gehad).

Dus wie weet zitten aanvallers nu al veel dieper in je netwerk en mooi dat de initiele toegangspoort gesloten is maar een initele toegangspoort wordt vaak maar eenmalig gebruikt door aanvallers.Je moet eigenlijk je netwerk ondersteboven gooien om te kijken of ze niet veder in je netwerk zitten maar de echte criminielen zijn koning in het onzichtbaar blijven
Een solarwinds server doet namelijk health status uitlezen, vaak dmv windows domain accounts. Een IT beheerders zijn vaak lui dus wordt daar ook wel eens een domain admin account voor gebruikt om bv WMI uit te lezen. Als ze op je solarwinds server zitten, dan hebben ze ook toegang tot deze accounts (gehad).
Eigen schuld, dikke herinstallatie van al je servers. Dan moet je je service account geen Domain Admin maken. Zo'n ding krijgt juist alleen maar Performance Reader zodat een 3rd party app niet los kan gaan in je cluster.
Jazeker helemaal eens, die accounts moet je zo dicht mogelijk zetten. In de praktijk kom je helaas andere situaties tegen.
DAarbij software leveranciers zijn vaak behoorlijk veeleisend en een performance reader is niet altijd genoeg. Lees maar eens de officiele requirements van solarwinds:
https://support.solarwind...s-accounts?language=en_US

Mrja solarwinds zei ook dat je hun installatie in de exclude map van de antivirus moest zetten. Dat is ook oliedom.
Als je dacht dat al erg was. Lees maar eens de instructies van Rapid7, een veelgebruikte vulnerability scanner. JE zou denken dat die wel beter zouden nadenken over het dichtzetten van gebruikte service accounts voor authenticated scanning

https://docs.rapid7.com/i...n-windows-best-practices/

en daarbij ook weer de beroemde:
If running an antivirus tool on the Scan Engine host, make sure that antivirus whitelists the application and all traffic that the application is sending to the network and receiving from the network. Having antivirus inspecting the traffic can lead to performance issues and potential false-positives.
Zucht....

[Reactie gewijzigd door laurens0619 op 16 december 2020 14:14]

@ItsNotRudy, wat zou je aanraden? Ik sta open voor advies.

[Reactie gewijzigd door coer op 17 december 2020 09:19]

Fire eye (zelf ook gehacked door solarwinds orion) heeft een mooi artikel hierover gepubliceerd: https://www.fireeye.com/b...th-sunburst-backdoor.html

Als ik het goed begrijp is solarwinds begin dit jaar gehacked en hebben hackers vanuit daar een gesignede dll met een backdoor meegestuurd via het update mechanisme van orion.

Iedereen die dus braaf zijn updates heeft gedaan was dus vatbaar voor deze backdoor.

[Reactie gewijzigd door L0g0ff op 16 december 2020 15:31]

Als het uitgangspunt braaf updaten is dan heeft iemand het duidelijk niet begrepen. En dat is meteen de kern van het probleem: het gaat er niet om dat je moet updaten maar of je de software nog wel kan vertrouwen en waarvan je dat af laat hangen. Of het nu een eerste release is of updates of upgrades.
Je hebt een punt, maar als je per leverancier jezelf moet gaan afvragen of het te vertrouwen is dan maak je het jezelf het wel heel erg moeilijk. Gezien de hacks de laatste tijd is het antwoord heel simpel, er is geen enkele leverancier te vertrouwen. Je OS, je netwerk apparatuur, je software, noem het maar op. Eigenlijk ben je dan gewoon klaar en kun je wel stoppen.

Vertrouw jij je certificaten bijvoorbeeld? Deze laat je signeren door een derde partij, is die te vertrouwen?
Alleen je eigen self singed certificate is te vertrouwen maar dat word erg lastig communiceren met de rest van de wereld enz enz.

En voor sommige software is het misschien verstandig om eerst even de kat uit de boom te kijken, maar hoelang ga je dat doen, 1 maand, 2 maanden een half jaar? En wat als het om een kritiek lek gaat, dan heb je die tijd niet.
Exact niks is 100% veilig en zelfs wat nu veilig is kan morgen onveilig zijn. Maar als een leverancier maanden lang niet door heeft dat ze malware aan klanten verspreiden dan ben je toch wel erg slecht bezig. Goede monitoring maar niet heus.
Of je de software nog wel kan vertrouwen? Ik denk niet dat deze bedrijven er van uit gingen dat de software een kwetsbaarheid zou bevatten.
U wantrouwt dus alle software ? Moet allemaal maar in een sandbox ?
[...]
Iedereen die dus braaf zijn updates heeft gedaan is dus vatbaar voor deze backdoor.
Net niet:
quote: Uit het artikel
De recentere versies van de Orion-software zouden de kwetsbaarheid niet meer bevatten en SolarWinds heeft daarnaast dinsdagavond een extra beveiligingspatch uitgebracht die klanten kunnen installeren.
Klopt, de gehackte dll's zijn tussen maart en mei verspreid via het automatische update mechanisme:
Multiple trojanzied updates were digitally signed from March - May 2020 and posted to the SolarWinds updates website, including:

hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp
Maar nu nog steeds worden deze backdoors uitgebuit. Pas sinds kort is er een solarwinds update gekomen die deze bewuste backdoor weer dicht.
Ik ben het met jou eens hoor, maar ga nog 1 stap verder: iedereen die braaf zijn updates heeft gedaan, was dus vatbaar voor deze backdoor.
Ook nog interessant leesvoer op https://www.volexity.com/...-to-breach-organizations/ en https://www.schneier.com/...actor-authentication.html . Blijkbaar wisten ze multi-factor authentication in OWA te omzeilen.
Some of the legal and regulatory fallout may hinge on what SolarWinds knew or should have known about the incident, when, and how it responded. For example, Vinoth Kumar, a cybersecurity “bug hunter” who has earned cash bounties and recognition from multiple companies for reporting security flaws in their products and services, posted on Twitter that he notified SolarWinds in November 2019 that the company’s software download website was protected by a simple password that was published in the clear on SolarWinds’ code repository at Github.

Bron: https://krebsonsecurity.c...uld-affect-18k-customers/
Wauw. |:(
Wel met de kanttekening dat dit nog door niemand is bevestigd, het is tot nu toe één iemand die dit zelf claimt. Als dit klopt zou het heel bizar zijn, zeker voor zo'n bedrijf, maar ik hou nog een slag om de arm.
https://savebreach.com/so...curity-researcher-vinoth/

Als je twitter zou volgen dan zie je dat het securityteam van Solarwinds gereageerd heeft.
The leaked FTP credentials were being exposed by SolarWinds since June 2018
8)7
Dit kan absoluut fake zijn om zo de aandacht af te leiden.
Interessant.
Nog interessanter is dat NSA cybersecurity chief / White House National Security Adviser Robert O’Brien vanwege deze hack alles moet laten vallen.

Deze kant noemt "state sponsored hackers", terwijl het er meer op lijkt dat er menselijke fouten (authorisatie, dependecyhell, ITIL) aan ten grondslag liggen.

Da's een wereld van verschil. Een ongelofelijk rare cultuur dat er zulke fundamentele verschilen in aannames zitten.

https://www.wsj.com/artic...larwinds-hack-11608072596

[Reactie gewijzigd door Bulkzooi op 16 december 2020 15:23]

Deze kant noemt "state sponsored hackers", terwijl het er meer op lijkt dat er menselijke fouten (authorisatie, dependecyhell, ITIL) aan ten grondslag liggen.
De mens is de zwakke schakel in elk informatiesysteem
Maar als ze er een nationaliteit aan verbinden verwacht je wel wat meer bewijs dan een ip adres.

Ook menselijk... maar fout? Dat lijkt me bewust, terwijl de inzet enorme belangen heeft.
Is er hier iemand aanwezig met ervaring met dit pakket?

Ik ben namelijk benieuwd wat bedrijven ervan weerhoudt om te updaten. Zitten er veel breaking changes in de updates? Draaien veel bedrijven een oude versie omdat ze de upgrade niet willen betalen? Of is het puur de bureaucratische rompslomp om nieuwe software uitgerold te krijgen?

Ik kan me voorstellen dat er het e.e.a. kapot gaat als je een upgrade uitvoert, maar als dat iets relatief kleins is, verwacht ik toch van bedrijven dat ze er maar mee dealen. De grote vraag is eigenlijk: wanneer het eerste Nederlandse bedrijf al hun klantgegevens lekt aan een stel vage Russen, wie is dan de schuldige? Want net zoals bij het Cisco-lek en de EternalBlue-hacks zullen bedrijven hun software niet up to date hebben en triviaal gehackt kunnen worden, en het is wel goed om te weten dat het incompetentie van het bedrijf is (zoals de vorige keren) of de schuld van de leverancier.
Ik quote mezelf even. Het is namelijk niet het probleem dat bedrijven niet geupdate hebben. Het probleem is dat ze wel geupdate hebben.

L0g0ff in 'nieuws: Enkele honderden Nederlandse bedrijven gebruiken kwetsbare...
Dat hangt er vanaf wat je als probleem wil zien. Als je de backdoor als probleem ziet dan kan je inderdaad stellen dat het updaten een probleem was. Maar bij beveiliging gaat het er niet om of je een probleem hebt maar of je genoeg wist of weet om te kiezen wat hopelijk voor de minste problemen zorgt. Het probleem lijkt dus niet het updaten maar te weinig weten of je er verstandig aan doet om wel of niet te updaten. En dat probleem is niet weg als je niet hebt geupdate.
Ik ben het met je eens. Maar de stelling was:
Ik ben namelijk benieuwd wat bedrijven ervan weerhoudt om te updaten. Zitten er veel breaking changes in de updates? Draaien veel bedrijven een oude versie omdat ze de upgrade niet willen betalen? Of is het puur de bureaucratische rompslomp om nieuwe software uitgerold te krijgen?
Mijn reactie daarop was dat deze bedrijven die vatbaar waren juist wel gepatched hadden.

Updaten is onwijs belangrijk en je moet er vanuit dat je leverancier zijn handel op orde heeft. Twijfel je of je leveranciers zijn eigen backend wel op orde heeft dan is het beste wat je kunt doen een andere leverancier zoeken. Om die reden niet updaten is namelijk nooit een goed idee.

Het verbaasd me altijd wel dat je hier niet meer over leest. Hoe ideaal is vrijwel iedere repository als target voor je Trojaanse paard.
&@Anoniem: 83557
het verschil zijn authorisatie; niet alle ahankelijkheden zijn geinfecteerd, hetgeen wijst op een soort policy of afhankelijkheid van dependencies.

[Reactie gewijzigd door Bulkzooi op 16 december 2020 14:59]

Schuld van de leverancier kan het niet meer zijn als er al nieuwe versies zijn die het probleem oplossen en zo grootst hebben gewaarschuwd. Ik wens je dan succes met de schuld dan nog bij hun neerleggen.
Dat vind ik wat kort door de bocht. Als je een paar updates per jaar uitbrengt en iedere keer grote herconfiguratie vereist, vind ik niet dat je van je klanten kan verwachten dat ze je wijzigingen gewoon slikken en updaten.

Je kunt bijvoorbeeld niet zomaar even Windows 7 updaten naar Windows 10. Dat gaat meestal goed, maar soms werken kritieke applicaties dan niet meer en moet er een alternatief worden gezocht. Nu heeft Microsoft bedrijven ruim tijd gegeven om die upgrade te doen, maar als je een grote breaking change hebt met de update van dit jaar, is het niet zo zwart/wit vind ik.
Bij zo'n groot issue verwacht ik ook wel een losse patch die niet gelijk met allerlei andere updates meekomt. Gewoon een nieuwe build van de bewuste versie (zonder backdoor).
Ik hoop het inderdaad, ik zou dat wel verwachten als klant. Je kunt alleen niet iedere uitgebrachte versie ooit patchen, dat krijg je nooit getest. Als zoiets wordt gedaan, wordt normaal alleen de nieuwste major versie van de software gepatcht (zo doet Apple dat bijvoorbeeld) en die hebben bedrijven ook niet altijd draaien. Als het bedrijf netjes met hun versienummering omgaat en geen grote breaking changes binnen dezelfde major introduceren, is dat natuurlijk geen probleem, maar toch.
Als het een ernstig lek is brengt zelfs Apple nog updates uit. Zo heeft de 5S laatst nog 12.4 gekregen (bugfix) en is met 12.5 de “corona api” toegevoegd.

Met uitbrengen van patches ga je uit van een redelijke termijn. Als jij iedere week een nieuwe versie uitbrengt ga je niet de voorlaatste versie niet meer supporten. No way dat je klanten bij zijn. In principe heb je vaak minder issues met dat soort upgrade paden (want kleine wijzigingen) maar versies van het afgelopen kwartaal ondersteunen is dan geen gek plan.
Wat je zegt bedoel ik ook, Apple heeft versie 12.4 naar 12.5 geüpdatet (dus binnen die major versie) maar voor 12.3 worden die veranderingen niet in een 12.3.1 versie gepusht (de laatste minor wordt dus geüpdatet).

Als je elke week versies pushtzzonder LTS ben je sowieso dom bezig vind ik. Als je bleeding edge wil uitbrengen en beperkte support wil leveren is dat prima, maar zorg dat er regelmatig langondersteunde software wordt uitgebracht zodat je ondersteuning houdt.
Dat komt vooral omdat er vrijwel niemand meer op 12.3 zit. Adoption rate van Apple Gebruikers is enorm hoog. Daardoor is er ook vrijwel geen noodzaak om nog meer dan 1 minor te supporten. Meerdere majors wel, maar binnen en major zit vrijwel iedereen op de laatste versie. Zeker op oudere platforms als iOS 9 (9.3.5) en 12 (12.5).

En ja met dergelijke snelle releases wil je een aantal LTS versies hebben (1 of 2 per jaar hoogstens), maar dit was natuurlijk wel bedoeld als voorbeeld. Het is vaak niet zo simpel te stellen als “je moet zus en zo”. Is ook afhankelijk van de markt en wat voor type software je levert.
Zou jij willen updaten met software van een bedrijf dat kennelijk niet controleerde of hun eigen updates wel te vertrouwen waren en die updates ook nog eens lieten staan nadat al bekend was dat die updates besmet waren?
Welke garantie geeft het bedrijf dan over de veiligheid van de huidige updates die je zou moeten installeren om van een bekend probleem af te zijn?

Als ik klant van deze softwaremaker was dan zou dit een heel goed moment zijn om te bedenken of je daar nog wel verder mee wil.
Ik ben namelijk benieuwd wat bedrijven ervan weerhoudt om te updaten.
Dat is toch niet het issue.
Known affected products: Orion Platform versions 2019.4 HF 5, 2020.2 with no hotfix installed, or with 2020.2 HF 1
2020.2 HF 2 is pas sinds 9 uurtjes geleden te downloaden. Met andere woorden alle patches/upgrades van het afgelopen jaar waren kwetsbaar.

@SunnieNL De patch die de leverancier heeft die het fixt is pas vandaag (Nederlandse tijd) uitgegeven. 2020.2 HF 1 blijkt volgens de eigen documentatie OOK het issue te bevatten.
Redenen om wel of niet te updaten is wel degelijk het issue. Bij updaten gaat het er niet om dat je het doet maar waarom: om risico's te beperken.

Waarom zou je de updates opeens wel vertrouwen terwijl de softwaremaker (voor zover ik zie) nergens aantoont waarom hun software nu wel te vertrouwen zou zijn?

Dat die backdoor er uit zou zijn is namelijk niet het onderliggende risico, dat is dat je niet weet wat je in huis haalt, niet weet waarom er een backdoor in kon zitten en niet weet wat de softwaremaker heeft gedaan om het wel betrouwbaar te maken.
De vraag is letterlijk gequote. Maar in dit geval is niet het issue of de software wel up to date is, want juist de up to date software is comprimised.

Weet je of iets 'veilig' is wel bij welke software/patch/update/medewerker dan ook? Nee, er zit altijd een bepaalde mate van vertrouwen is, maar zeker ook noodzaak. Of denk je dat spontaan alle Intel CPUs zijn vervangen na het gelazer met verschillend big security issues? Natuurlijk niet. Kosten vs. baten. En ook hier zal gelden kosten vs. baten.

Hier zal je eerst moeten patchen en dan gaan onderzoeken. Natuurlijk zou het veiligste zijn alles wegflikkeren en helemaal opnieuw beginnen, maar dat is qua kosten natuurlijk niet haalbaar. Wat wel haalbaar is zal voor verschillende bedrijven verschillende antwoorden opleveren.

Waarom zit er een backdoor in? Even verder lezen, dan zie je waar het fout is gegaan (development tools binnengedrongen).
Het lijkt mij niet verstandig om er maar vanuit te gaan dat als je niet weet wat veilig is je er dus maar moet patchen. Als dat namelijk je conclusie is dan sla je een groot deel van risicobeheersen over. Je kan niet ergens spontaan weer voldoende vertrouwen in hebben als je aan de andere kant gaat klagen dat een eerdere update een backdoor bevatte en je niet weet of de oorzaak wel is weggenomen en niet tot andere problemen heeft gezorgt. Want als je verder leest dan zie je namelijk ook dat het bedrijf daar heel vaag en heel stil over is. En dat is meestal geen goed teken voor vertrouwen als jij het risico loopt en wil weten waar je aan toe bent.

De kennis dat het behoorlijk mis is gegaan en je kennelijk een extra risico hebt hoort zo snel mogelijk onderdeel te zijn van je afwegingen om gepaste maatregelen te nemen. En dat is dus waarschijnlijk niet simpelweg concluderen dat omdat er nieuwe updates zijn je vertrouwen als bij een wonder weer terug kan zijn om te patchen, of meteen van het ergste uit gaan dat je alles moet vervangen of niets meer kan gebruiken. Hoewel het laatste misschien wel wat vaker het antwoord mag zijn als je ziet hoe weinig het gebruikers kennelijk interesseert waarom ze de softwaremakers of hardwaremakers zoveel geld geven terwijl nauwelijks duidelijk is of ze daarmee risico wegnemen of juist meer risico voor zichzelf, de medewerkers en de klanten binnen halen.
Oh, ik wil niet suggereren dat bedrijven nu achterlopen, ze hebben in mijn ogen nog een maand om die patch toe te passen voor ik ze het kwalijk neem.

Het gaat mij er vooral om dat bedrijven drie maanden na het uitbrengen van een kritieke patch nog niet bij zijn. Nog steeds is het bij superveel bedrijven mogelijk om het AD in te komen omdat de patch installeren niet genoeg was, er moest ook configuratie worden veranderd. Toen exploitation van EternalBlue begon waren er al maanden geleden patches uitgebracht die het lek dichtten. Ook het recente Cisco-lek had na een week een patch en maanden later werden er nog steeds bedrijven gehackt.

In die gevallen is de oorzaak dat de hack lukte het achterlopende patcbeleid. Nu weet ik dat dit soort software vaak erg complex is en diepgeworteld in de bedrijfs-IT zit. Waar mijn vraag op neerkomt is eigenlijk meer "kunnen we het bedrijven aanrekenen als ze nu de patch niet gaan downloaden en onderzoeken zodat ze na de kerstvakantie veilig zijn".
Waar mijn vraag op neerkomt is eigenlijk meer "kunnen we het bedrijven aanrekenen als ze nu de patch niet gaan downloaden en onderzoeken zodat ze na de kerstvakantie veilig zijn".
Je kan bedrijven van alles 'aanrekenen', maar waar heb je contractueel recht op? Je kan het natuurlijk gooien op nalatigheid, maar dat is in veel van dit soort gevallen natuurlijk erg lastig te bewijzen, zeker wanneer bedrijven niet open zijn over hun interne processen.

Normale patching is vaak een lang proces. Dit soort patches volgen echter niet het standaard proces, dit zijn 'nood' patches en dan moet iemand de risico's tegen elkaar gaan afwegen. Soms zijn dat ITers, soms zijn dat andere afdelingen die te maken hebben op beveiligingsprocedures op een meer functioneel niveau.
Veel van de door op twitter gepubliseerde zorginstellingen zijn dus niet geraakt door de backdoor. Zou fijn zijn als men eerst een fact check doet voordat men zoiets publiekelijk maakt. Scheeld hoop werk namelijk :+
Ik denk dat ik weet naar welke tweet je verwijst en die is inderdaad grote onzin. Er zijn nog geen Nederlandse bedrijven/instellingen bekend die ook daadwerkelijk getroffen zijn door deze hack. Alleen een lijst met klanten waar deze kwetsbare versie nog bij draait.
welke tweet bedoelen jullie?
Het NCSC liet maandag ook een waarschuwing uitgaan hierover. Nu maar hopen dat dat opgepakt wordt.
Ondertussen heeft Microsoft het domein waar de malware gebruik van maakt kunnen overnemen.
Bron.
Hiermee kunnen ze dus inzicht krijgen in welke IP adressen verbinding proberen te leggen met het domein, om op die manier te achterhalen welke bedrijven dit zijn en ze te waarschuwen en te helpen om de breach ongedaan te maken.
Gaan die dan gebeld worden? Hello this is Microsoft ..biep biep biep.
After discovering the backdoor, FireEye contacted SolarWinds and law enforcement, Carmakal said:

“We looked through 50,000 lines of source code, which we were able to determine there was a backdoor within SolarWinds,” said Charles Carmakal, senior vice president and chief technical officer at Mandiant, FireEye’s incident response arm.

SolarWinds Orion Platform versions 2019.4 and 2020.2

Known affected products:
Application Centric Monitor (ACM)
Database Performance Analyzer Integration Module (DPAIM)
Enterprise Operations Console (EOC)
High Availability (HA)
IP Address Manager (IPAM)
Log Analyzer (LA)
Network Automation Manager (NAM)
Network Configuration Manager (NCM)
Network Operations Manager (NOM)
Network Performance Monitor (NPM)
NetFlow Traffic Analyzer (NTA)
Server & Application Monitor (SAM)
Server Configuration Monitor (SCM)
Storage Resource Monitor (SRM)
User Device Tracker (UDT)
Virtualization Manager (VMAN)
VoIP & Network Quality Manager (VNQM)
Web Performance Monitor (WPM)

Advised resolution is to disable and reset everything and enable AES 256 bit Kerberos encryption.
From there it's lightning a candle for Mocrosoft and waiting for the next problems to pop up.

Fireye:
https://www.fireeye.com/b...th-sunburst-backdoor.html

Mitre, ingres
https://attack.mitre.org/techniques/T1105/

USA govs comment:
https://cyber.dhs.gov/ed/21-01/

NCSC:
https://advisories.ncsc.nl/advisory?id=NCSC-2020-1021

[Reactie gewijzigd door Bulkzooi op 17 december 2020 21:27]

Ik maak me voornamelijk zorgen over al die zonnepanelen omvormers bij particulieren wat lukraak aan het internet hangt, een ideal target voor hackers om er bijvoorbeeld 1 groot botnet van te maken want security updates stoppen vrij vlot en die dingen hangen er 10-12 jaar(daarna moet omvormer vervangen worden).

En ze hangen 24/7 aan het internet.

[Reactie gewijzigd door mr_evil08 op 16 december 2020 11:26]

Huh? Solarwinds is geen solarpower bedrijf.
Dit artikel heeft niets met zonnepanelen te maken...
Het is echt drama, je mag blij zijn als je überhaupt 1 update kunt vinden.

Bij mijn ouders heeft de installateur een Omnik geplaatst met daarbij het configuratieaccespoint onbeveiligd, waarbij iedere voorbijganger dus ook de WPA-passphrase van het thuisnetwerk kon uitlezen.
Bij m'n schoonouders hangt een Zeversolar, waarbij de wlan-antenne niet geplaatst was. Nadat ik een antenne besteld had kan dat ding überhaupt niet verbinden met een wlan-netwerk, krijgt geen IP-adres (en geloof me, heb echt veel geprobeerd andere router, repeater, static ip.)

Kan iemand mij een voorbeeld geven van 1 merk omvormer wat wel gewoon aan de standaarden van 2020 voldoet?

[Reactie gewijzigd door Oeroeg op 16 december 2020 11:51]

Gelukkig hangen ze niet allemaal direct bereikbaar aan het internet (lang leve NAT...), dus ze zullen lokaal aangevallen moeten worden. Maar je hebt wel degelijk een punt.

Voor mij was dit een van de redenen om voor een bedrijf te kiezen (Zonneplan) die zijn omvormer via 4G verbindt, dus dat ding zit helemaal niet op mijn netwerk. En bovendien houden zij de software/firmware zelf goed up to date en geven ze er lang garantie op.

Edit
NAT is beter dan niets, maar inderdaad, NAT + Firewall (en dat bedoelde ik eigenlijk) is natuurlijk beter.

[Reactie gewijzigd door Strebor op 16 december 2020 12:14]

Ik ben benieuwd hoeveel van die apparaten stiekem IPv6 spreken. Nu is de address range van IPv6 gelukkig te groot om te scannen (je hebt als thuisgebruiker als het goed is meer adresruimte dan IPv4 in totaal heeft, alhoewel heel IPv4 scannen ook minutenwerk kan zijn met tools als masscan), maar ik kan me voorstellend dat er ergens een log met IP-addressen lekt waarmee hackers alsnog die apparaten in kunnen komen.

Vertrouw niet zomaar op NAT voor je security, de verschillende exploits van Samy Kamkar hebben wel laten zien dat NAT soms triviaal te bypassen is. Je firewall zou de boel moeten tegenhouden, en die doet dat in ieder geval voor ipv6 gelukkig ook goed. Voor ipv4 zijn er net te veel apparaten op de markt die gewoon puur NAT als beveiliging hebben, met alle gevolgen van dien.
Of het nou via WiFi gaat of 4G maakt weinig uit, ook via 4G kan het gehacked worden maar ik snap je redenering vermoedelijk hangen ze in een vlan op hun netwerk en dat is inderdaad veiliger net als de slimme meters in een vlan hangen.

Maar NAT is geen firrewall ook al zijn er vergelijkingen, het kan ook binnenkomen via een geinfecteerd apparaat in je netwerk, zo had ik laatst een camerabewaking recorder wat gehacked was, dat ding had geen portforwarding of upnp in de router en toch zat hij in een botnet(er zat linux op) en de wachtwoorden waren streng gemaakt, via een exploit is het toch gebeurd.

Ook je consumenten router zelf kan target zijn, zeker nu het mogelijk is dat jan en alleman een eigen router kan gebruiken en de providermodem aan de kant wordt gegooit.

[Reactie gewijzigd door mr_evil08 op 16 december 2020 11:52]

Kan vertellen dat er van tenminste 1 merk zeer veel hangen, die wel achter een NAT router hangen, maar op aanraden van de fabrikant (anders geen of slechte connectie), via portfowarding alsnog direct beschikbaar zijn. Waarbij de fabrikant vraagt of je 'ff' de hele portrange wilt forwarden richten de omvormer. Bij de vraag hoe dat dan gaat met 2 omvormers, geeft de helpdesk dan ook niet echt een duidelijk antwoord :)

[Reactie gewijzigd door mvrhrln op 16 december 2020 12:58]

Een beetje fatsoenlijke installateur zal zorgen voor het initieel updaten van de firmware en zorgen dat er geen stock user-id en ww wordt gebruikt. Bij mij werd dit namelijk bij de installatie aangeboden. Ik heb dit echter zelf gedaan omdat ik ook een domotica systeem erachter heb zitten die de omvormer uitleest. Verder het verkeer outbound controleren (PiHole ziet het DNS verkeer) en geen inbound toestaan. Wat dat betreft is de omvormer slechts één van de devices waar het verstandig is om niet met de standaard instellingen te werken. Hacken van IP camera's, routers etc zorgen wel voor potentieel veel meer schade dan een omvormer.
Een beetje fatsoenlijke installateur
Daar zeg je wat.
Let toch erg op met die (Chinese) panelen setjes.
Ook goed geïnstalleerd en up to date blijft het een ramp.
Die van mij bijvoorbeeld zal zo snel as hij de wifi kwijt raakt weer een eigen netwerk signaal uitzenden en ondanks dat het wachtwoord is verandert kun je gewoon met de standaard login erin.
Erger nog het wifi wachtwoord staat dan in plain text meteen in zicht.
Ik heb hier nu dus (ipv van bridged) de ziggo wifi router draaien met een los gast netwerk.
Wat is dit anders dan alle IoT devices?
Vaak goedkope troep, hangt 24/7 aan het internet?
Deurbellen, lampen, etc...
(Even afgezien van de vraag wat dit met het artikel te maken heeft)

Op dit item kan niet meer gereageerd worden.


Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers is samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer onderdeel van DPG Media B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee