Inlichtingendiensten VS: 2700 Nederlandse apparaten zitten in Chinees botnet

De FBI, NSA en Cyber National Mission Force uit de VS waarschuwen dat 2700 Nederlandse apparaten onderdeel uitmaken van een Chinees botnet. In totaal zitten er in het botnet 260.000 apparaten.

Het botnet is in handen van het Chinese Integrity Technology Group, melden de diensten. Het gaat niet alleen om apparaten die end-of-life zijn volgens hun fabrikanten, er zitten vermoedelijk ook veel apparaten tussen die nog actieve ondersteuning hebben en dus gepatcht kunnen worden.

Het gaat om een variant van de al jaren bekende Mirai-malware. Na gebruik te hebben gemaakt van een bekende kwetsbaarheid haalt de software de payload van Mirai van een server. De connectie met de centrale server loopt via poort 443 via TLS. De malware lijkt ook te verwijzen naar speedtest.net om gegevens over de internetverbinding te verzamelen. Het domein lijkt te horen bij de domeinnaam https://w8510.com.

Op de centrale server draait het programma Sparrow die een IP-adres van China Unicom Beijing Province Network gewhitelist heeft voor controle over het botnet. De getroffen apparaten zouden onder meer routers zijn van bijvoorbeeld Zyxel, maar ook apparatuur van Ubiquiti, Hikvision, Cisco en Qnap. Het Nederlandse NCSC gaf ook een waarschuwing af over de publicatie en zegt dat een deel van de gebruikers van de apparaten een melding krijgt.

Reacties (82)

Beerkeeper 18 september 2024 20:56

Een lijst met apparaten/software die kwetsbaar zijn kan je hier vinden: https://www.ic3.gov/Media/News/2024/240918.pdf

Ik schrok van de melding van Ubiquiti erin, maar het is al een wat oudere versie.

Edit: Ik zie dat bovenstaande link ook in het artikel staat vermeld (tweede alinea), alleen leest het niet als een lijst van kwetsbare apparaten.

[Reactie gewijzigd door Beerkeeper op 18 september 2024 21:00]

Triblade_8472 @Beerkeeper • 18 september 2024 21:06

Ik schrik veel eerder van Fortigate eigenlijk. Dat is een van de grootste spelers in firewall-land.

Waar ik ook van schrik is dat er zo veel zakelijke apparatuur/software in bulk is misbruikt. Dat het zoveel voorkomt dat het niet gepatched/geupdate wordt ongeacht alle waarschuwingen de afgelopen tijd.

Waar zijn toch die beheerders die moeten patchen?

Het zal je apparaat maar zijn... Dan mag je van geluk spreken dat ze het misbruiken voor aanvallen naar buiten en niet naar binnen!

Edit:
Fortigate is dan ook bij de Nederlandse overheid veelvuldig aanwezig. (bijvoorbeeld de rijksoverheid, een dienstverlener voor 4 steden, GGD Brabant, enz enz)

Wat het extra saillant maakt met dit soort eerdere berichtgeving: nieuws: MIVD vindt Chinese spionagesoftware op Fortinet-systeem van krijgsmacht Je zou zeggen dat patching na zoiets beter zou gaan...

[Reactie gewijzigd door Triblade_8472 op 18 september 2024 21:12]

ssmt @Triblade_8472 • 18 september 2024 21:21

Ach, Cisco ASA Firewall CVE's staan er ook tussen. En alle genoemde CVE's mbt Fortigates zijn zelf door Fortinet gevonden en gepatched in nieuwe versies van de firmware + elke klant krijgt direct een melding. Iedereen die Fortigates/ASA's actief heeft zonder daarna te updaten is niet goed wijs....

Btw: ik heb het idee dat de CVE lijst meer een opsomming is van de laatste CVE's op netwerkapparatuur gebied dan dat echt geconstateerd is dat deze actief misbruikt zijn voor dit botnet. Maar ik kan het fout hebben...

[Reactie gewijzigd door ssmt op 18 september 2024 21:27]

blaatenator @ssmt • 19 september 2024 08:28

Bij Fortinet zijn dit jaar toch echt wel flinke missers boven water gekomen. Deze week bij Risky.biz werd het volgende genoemd in relatie met dit bericht: Verkopen apparatuur die al uit support is (https://risky.biz/RB764/) en dus niet gepatched gaat worden.
(+ alle andere kritische bugs dit jaar, en het inkopen van goedkope Chinese apparatuur en labelen als origineel en doorverkopen aan overheden (alweer een tijdje geleden))

satya @blaatenator • 19 september 2024 20:57

Dit jaar en vorig jaar, waarvan twee die echt kritisch waren en in deze lijst staan en al lang geleden gefixed zijn.

Triblade_8472 @ssmt • 18 september 2024 21:25

Eens!

Dat zet des te meer kracht bij, bij wat ik eerder schreef. ("Je zou zeggen dat patching na zoiets beter zou gaan...")

Ik ben blij met dat ze veel patchen, maar ik vindt wel dat ze te veel CVE's op hun naam hebben voor een beveiligingsproduct. Tja, liever veel patches dan verzwijgen, dat staat voor alles.

ssmt @Triblade_8472 • 18 september 2024 21:33

Acht er zijn ook grote partijen die als beleid hebben om zelf gevonden security gaten niet melden als CVE en die dan in de release notes zeggen dat het "sterk aangeraden wordt" om te updaten......

familyman @ssmt • 19 september 2024 05:05

Ik vermoed dat er partijen zijn die hun patch beleid laten afhangen van cve status

Blokker_1999

China
Beveiliging en antivirus

@familyman • 19 september 2024 07:26

Het is aan te raden elke patch te installeren, maar er is een reden waarom bijv. Microsoft er voor kiest om 1x per maand patches uit te brengen tenzij het echt zeer ernstig is.

De CVE status en CVSS score zijn daarnaast zeer belangrjik om te bepalen of een patch kan wachten tot je maandelijkse patchronde danwel of je deze versneld wenst uit te rollen, zoals met die recente MS update die een RCE in de IPv6 stack fixte.

cool0 @ssmt • 19 september 2024 09:42

Het is nogal makkelijk gedacht ja fortinet heeft ze zelf gevonden... dat is niet altijd waar. Daarbij heeft fortinet de laatste jaren elk jaar weer meer dan 100CVEs voor fun security devices. Fortinet heeft teveel op marketing gezeten en features en de kwaliteit laten schieten. Ik ken klanten die nu naar andere vendors migreren omdat het bij houden van de fortinet updates bijna een dag taak aan het worden was.

Felyrion @Triblade_8472 • 18 september 2024 21:32

Mogelijk zijn issues zoals bij Fortigate deels verklaarbaar dat wanneer afnemers (zal met name spelen aan de onderkant MKB) het support contract laten verlopen. Updaten zit grotendeels achter een "paywall".

Kabouterplop01 @Triblade_8472 • 19 september 2024 08:37

Die beheerders zijn er wel, maar het is het management wat de risico's accepteert en productie voor laat gaan. Dat management treft de blaam. Niet de beheerders.

WillySis @Triblade_8472 • 19 september 2024 09:18

Grote namen trekken veel aandacht.

China heeft geen belang bij het aanvallen van buiten naar binnen. In het overgrote deel van de Chinese hacks gaat het puur om spionage.

Frame164 @Triblade_8472 • 19 september 2024 10:00

Ik schrik veel eerder van Fortigate eigenlijk. Dat is een van de grootste spelers in firewall-land.

Hoe groter de installed base van een leverancier, hoe groter de kans is dat het misbruikt kan worden.

Aldy @Triblade_8472 • 19 september 2024 16:03

Je blijft schrikken: Zyxel, wordt standaard geleverd door Odido. Nu heeft Odido het besturingssysteem aardig uitgekleed, maar misschien zit de malware nog gewoon in het modem.

Powerblast @Beerkeeper • 18 september 2024 21:10

Hoe moet je deze lijst juist lezen? De apparaten waarvan ze gevonden hebben dat ze in het botnet zitten draaien één of meerdere van deze vulnerable software componenten? M.a.w. als je ook zelf hier iets van draait ben je mogelijk ook kwestbaar of zit je al mee in het botnet zonder het te weten?

Triblade_8472 @Powerblast • 18 september 2024 21:18

De lijst is primair een lijst van CVE's. Als ik het goed zie van nieuwe naar oude CVE's

Die zijn vervolgens toegeschreven aan een bepaald merk/type/versie van hard- en software bekend in deze aanval.

Als je echt wil weten of je iets ertussen hebt dan zal je alles in Excel moeten zetten en filteren op merken die je hebt, daarna producten van hen. En dan kan je kijken of je getroffen versies hebt. Of ctrl-F op je inhouse producten

Maar even onder ons, als je up-to-date bent dan heb je hiervan zeer waarschijnlijk niks te vrezen. Zorg gewoon voor een goede patchcyclus.

djwice

@Triblade_8472 • 18 september 2024 22:04

Er staat volgens mij "observed" bij, dus ik neem daarmee aan dat ze daarvan hebben gezien dat ze misbruikt zijn in deze aanval en in het botnet er met minimaal 1 van is/was opgenomen.

Alex3 @Triblade_8472 • 19 september 2024 10:32

Waarom Excel? Kan een ander spreadsheetprogramma dat niet?

Triblade_8472 @Alex3 • 19 september 2024 21:51

Omdat ik de grootste en bekendste pak om te benoemen, al dan niet degene waar ik professioneel mee werk. Als ik alle programma's ga benoemen die mogelijk voor dat doel gebruikt kunnen worden, dan ben ik nog wel even bezig.

Lijkt je dat ook niet een beetje zinloos? Ik neem aan dat je vast zelf alternatieven kan verzinnen op de bekendste spreadsheet software ter wereld.

phubert @Beerkeeper • 18 september 2024 21:08

Ik schrok van de melding van Ubiquiti erin, maar het is al een wat oudere versie.

Vreemd is het niet, Ubiquiti is populair en veel gebruikt.

Van bepaalde leveranciers in de lijst ben ik echt niet verbaasd dat ze erin staan, sommige staan echt bekend als "achtergesteld als het gaat om beveiliging en vergrote kans op hacken".

djwice

@Beerkeeper • 18 september 2024 22:02

Wow ook ServiceNow, Confluence en F5 BigIP zitten er tussen.

Zezura @Beerkeeper • 18 september 2024 23:44

Als je leest zie je dat het om de backup functionaliteit gaat. Daarvoor moet je ingelogd zijn. Vulnerabilities zijn nooit fijn. Maar dit vind ik best meevallen. Apache of PHP vind ik veel erger.

SunnieNL

@Beerkeeper • 19 september 2024 15:12

Ik betwijfel of dat een lijst is van apparaten die kwetsbaar zijn voor het botnet.
Wat er in staat is dat via het botnet CVEs op deze apparaten getarget zijn. Dat is niets nieuws, die CVE's zijn voor een groot deel al oud en in het nieuws geweest doordat ze misbruikt werden. De CVEs zijn gebruikt voor lateral movement en om nog meer apparaten aan het botnet toe te voegen.

Integrity Tech relied on the following vulnerabilities to acquire new botnet victims and allow botnet users to exploit further victims through the compromised botnet devices.

De apparaten die opgenomen zijn in het botnet, zijn devices die linux draaien in bepaalde versies:

Affected devices were running Linux kernel versions 2.6 through 5.4.

stefanheggins @Beerkeeper • 19 september 2024 16:35

De lijst met DNS records die opgevraagd worden voor dit botnet is lang. DNS servers kunnen DNS queries loggen en op basis van die logs kan je eindgebruikers vertellen dat ze een probleem hebben. DNS servers kunnen ook weigeren de juiste data te retourneren. Natuurlijk moet je hier terughoudend in zijn maar het lijkt me dat er use cases zijn waarbij dit een goede oplossing kan zijn.

```
steven@homeserver:~$ host canwtrow.w8510.com
canwtrow.w8510.com has address 155.138.223.173
canwtrow.w8510.com has address 45.32.67.198
canwtrow.w8510.com has address 216.128.128.245
canwtrow.w8510.com has address 108.61.156.6
canwtrow.w8510.com has address 45.77.93.198
steven@homeserver:~$ host canwtrow.w8510.com 1.1.1.1
Using domain server:
Name: 1.1.1.1
Address: 1.1.1.1#53
Aliases:

canwtrow.w8510.com has address 45.32.67.198
canwtrow.w8510.com has address 45.77.93.198
canwtrow.w8510.com has address 216.128.128.245
canwtrow.w8510.com has address 108.61.156.6
canwtrow.w8510.com has address 155.138.223.173
steven@homeserver:~$ host canwtrow.w8510.com 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases:

canwtrow.w8510.com has address 45.32.67.198
canwtrow.w8510.com has address 45.77.93.198
canwtrow.w8510.com has address 216.128.128.245
canwtrow.w8510.com has address 108.61.156.6
canwtrow.w8510.com has address 155.138.223.173
```

JJ Le Funk 19 september 2024 04:13

ik neem aan dat de 4 jaar oude Zyxel modem-routers van T-Mobile/Odido uitvoering: ZyXEL VMG8825-T50K door de provider updates krijgen ter bescherming tegen dit soort praktijken?

jwbokx @JJ Le Funk • 19 september 2024 09:15

Vroeg ik me ook al af.
Op hun forum regelmatig berichten van vreemde meldingen in de log.
Heb zelf nu een Fritz hangen die ik zelf in de gaten houd

marsattacks @JJ Le Funk • 19 september 2024 12:10

Mijn Zyxel VMG8825-T50K van Online.nl loopt al 4 security updates achter, als ik dit bekijk:
zyxel vmg8825-t50k firmware

dfury @marsattacks • 19 september 2024 17:45

Ik zit gewoon op de laatste versie 5.50 van 02.08.2024.

henidde 18 september 2024 21:23

Zit dan toch te denken. Hier heb ik een Deco mesh systeem en Eufy camera’s hangen. Volgens mij beide Chinees van oorsprong.

Vertrouw het toch niet helemaal..

Triblade_8472 @henidde • 18 september 2024 21:27

Alle (iig vele van de) gehackte apparatuur is niet Chinees toch? Dus juist géén aanleiding om je zorgen te maken.

De truuk is patchen. Komen er geen patches maar is het wel online? Dan is het (naar mijn mening) geen degelijk product en moet je er snel vanaf.

arbraxas @Triblade_8472 • 18 september 2024 22:32

Leuk voor bedrijven, maar er staan ook routers tussen die primair voor particulieren bedoelt zijn.
Nou weet ik hoe ik op mijn router moet inloggen en hem moet updaten, maar voor veel mensen is het al technische abracadabra waar je welk kabeltje in moet doen.

Los daarvan, ook mijn router heeft 1,5 jaar geleden voor het laatst een update gehad. Er is gewoon niets nieuwers. En het was toch niet de goedkoopste router. Niemand gaat een goedwerkende router van 400 euro wegdoen. Hoognodig tijd dat er wetgeving komt die beveiligingsupdates afdwingt voor een jaar of 10 op netwerk apparatuur.

wiseger @arbraxas • 19 september 2024 00:39

Dat gaat niet gebeuren, dan worden routers voor consumenten te duur.

Het verschil tussen een professionele router en een consumenten router is het support. Dat kost geld en daar betaal je dus behoorlijk extra voor.

Een Fortinet firewall is best goedkoop. Het onderhoudscontract is duur. Daar zitten nu eenmaal de kosten.

arbraxas @wiseger • 19 september 2024 10:25

Dan zullen we dit soort dingen moeten accepteren 🤷

wiseger @arbraxas • 19 september 2024 16:59

En zo is het maar net. Wil je thuis veiligheid, dan zal je duurdere apparatuur moeten kopen. Van leveranciers die bekend staan om het leveren van langdurige support.

Koop je spotgoedkope IP camera's in de aanbieding op Temu, dan weet je van te voren al dat je geen (langdurig) support gaat krijgen.

arbraxas @wiseger • 19 september 2024 18:13

Wat is spotgoedkoop, een router van 400-500 euro een paar jaar geleden zat in het consumentensegment toch echt niet in de budgetbak.
Maar onderhoudscontracten van honderden of duizenden euros per jaar lijkt me ook onrealistisch voor consumenten.

Ik zal eerlijk bekennen dat ik wel iets meer updates van TP-link had verwacht.

wiseger @arbraxas • 19 september 2024 21:19

Bij een consumenten router zit in het geheel geen onderhouds contract. Je koopt een router en je hebt verder geen licentie nodig.

Voor een consument zou een bedrag van 40 per jaar voor een router van 400 euro toch prima te doen zijn? Als dat je voor dat geld dan 5 jaar veiligheids upgrades garandeerd krijgt?

arbraxas @wiseger • 20 september 2024 11:29

Dat klopt, maar welke consumentenrouter bied zoiets? Ik ken ze niet.
Zijn we weer beetje bij af.

The Zep Man

Beveiliging en antivirus

@henidde • 18 september 2024 22:37

Zit dan toch te denken. Hier heb ik een Deco mesh systeem en Eufy camera’s hangen.

Je geeft IP-camera's toch geen internetverbinding? Die isoleer je, en benader je enkel via een self-hosted systeem dat je wel actueel en veilig kan houden.

BounceMeister @The Zep Man • 18 september 2024 23:45

Veel van die apparaten komen met een app waarbij je zonder internetverbinding niets kunt beginnen. Dus de meesten zullen gewoon aan het internet hangen.

Blokker_1999

China
Beveiliging en antivirus

@BounceMeister • 19 september 2024 07:29

Nee, ze hebben internettoegang, ze hangen niet aan het internet. Ook dat is nog een belangrijk verscil dat je moet maken. Je kan van buitenaf die camera's die een app vereisen niet zomaar benaderen. Het risico daar is dat de leverancier zijn cloud infra wordt gehacked en dat alle camera's in 1 keer misbruikt kunnen worden.

TD-er

@Blokker_1999 • 19 september 2024 07:48

Of dat de apparatuur vanaf begin af aan al een callback heeft ingebouwd.
Tijdje terug samen met een klant gekeken naar wat alternatieven voor Teltonika voor 4G routers voor "in 't veld", toen de verkrijgbaarheid van de Teltonika apparatuur naar een absoluut nulpunt was gegaan.
Toch zeker 2 units gezien die doodleuk een MQTT verbinding opzetten naar een niet bekende server.

En ook de laatste tijd zat berichten gezien van goedkope Windows mini PCs die vanaf de fabriek al voorzien zijn van malware.

Dus zelfs het toestaan van internet-toegang is al een "point-of-entry" voor aanvallers.

En afgelopen dagen hebben we ook kunnen zien wat er nog meer "voorgeinstalleerd" kan zijn op apparaten zoals pagers en portofoons.

ThorDUde @TD-er • 25 september 2024 15:49

bij de grote fabricanten gooien ze vol met bloware. Ook zo fijn elke keer alles eraf moeten halen of compleet nieuwe windwos op te gooien om van die zooi maar af te zijn!

Houtenklaas @The Zep Man • 18 september 2024 22:47

Ja, dat doen jij en ik, maar de buurman die hem neerhangt en blij is dat hij het überhaupt aan de gang heeft gekregen zegt dit werkelijk niets. En als je vertelt dat met een VPN dat keurig kan afschermen is dat alleen maar lastig want een extra stap, laat staan dat hij dat überhaupt kan installeren.

robbinwehl @The Zep Man • 19 september 2024 08:37

Dat kan jij, dat kan ik .. maar kan Jantje die een goedkope Action camera koopt dit ook ? nee over het algemeen niet.

William_H @robbinwehl • 19 september 2024 14:07

En de vraag is, kan het ook wel allemaal met die Action camera? Want als het allemaal een uitgeklede instelmogelijkheden heeft, dan moet je zaken gaan wiresharken om erachter te komen waar bepaalde data vandaan/naartoe gaat.

phubert @The Zep Man • 19 september 2024 10:03

De meeste mensen denken hierbij niet na, kopen IP camera bij de Action of andere budgetplek en hangen hem aan hun modem. Het is voor deze mensen belangrijker hun huis, kinderen of kat in de gaten te houden en gaan er automatisch vanuit dat ze de enige zijn met toegang. Ik ben dit zoveel tegen gekomen, mensen die dan geen verbinding krijgen, zelfs poorten gaan forwarden in het modem waarbij sommige zelfs alles open zetten uit onkunde. Kan ik het ze kwalijk nemen, nee eigenlijk niet aangezien de meeste provider-modems vrij uitgekleed zijn en veelal niet de ondersteuning VLAN/VPN/Firewall hebben.

WeeJeePee @henidde • 19 september 2024 09:56

Ik zou Eufy cameras niet vertrouwen ze hebben in het verleden al een zeer groot veiligheidsschandaal gehad waarbij ze er achter kwamen dat de camera streams niet geencrypt waren op hun online platform.
bron: Anker finally comes clean about its Eufy security cameras

Tyrian 19 september 2024 02:07

Dat krijg je ervan als je firmware met programmeerfouten (bugs) maakt maar ze vervolgens niet meer wilt oplossen omdat de fabrikant het apparaat als end-of-support bestempelt.

HADES2001 @Tyrian • 19 september 2024 12:00

want jij denkt dat als er wel een update was elke nederlander braaf de update had gedaan? weet zeker dat 99,99% van de Nederlanders nog nooit een update over zijn modem of router heeft gedaan, het is dat providers de meeste modems beheren en het voor het gros regelt anders was dat aantal een 100 tal hoger

audb @HADES2001 • 19 september 2024 12:26

Dan val ik wel onder die 1% die het wel doet maar vaak worden oudere modems niet meer ge-update of komen ze pas uit als het te laat is.

beerse 18 september 2024 21:55

Dat qnap in de lijst voorkomt verbaast mij niet. Gelukkig staat daar (als ik het goed lees) dat het gaat om firmware van voor april 2021. Mijn qnap419 (uitvoering: QNAP TS-419P+ Turbo NAS) heeft afgelopen zomer nog een patch/update gekregen. Versie 4.3.3.2784 van 2024/06/19

Een ander detail is dat deze nas uit 2010 echt niet rechtstreeks of via nat of zo aan internet hangt.

[Reactie gewijzigd door beerse op 18 september 2024 21:57]

SVMartin @beerse • 18 september 2024 23:10

Vergeet niet dat het mogelijk is dat ze de NAS hebben kunnen infecteren middels een ander geïnfecteerd apparaat (je laptop / telefoon bijv) dat wel rechtstreeks met de nas is verbonden.

Verwijderd @beerse • 19 september 2024 07:09

Het hele idee van dat mirai spul is dat het het apparaat niet infecteert waar het op binnenkomt, maar juist op zoek gaat in het aangesloten netwerk naar kwetsbare apparaten die het kan infecteren.

magic_nl @Verwijderd • 19 september 2024 08:37

Om die reden staat mijn QNAP TS-212P standaard uit.
Behalve tijdens z'n wekelijkse backup taak (start even op en sluit af).
Als ik 'm nodig heb zet ik 'm aan en er loopt een taak dat ie vanzelf om 22u weer uitgaat.

MarcMK2 @magic_nl • 19 september 2024 09:47

totdat je om 9 uur sochtends hem aan zet en hij pas 13 uur later uit gaat.

magic_nl @MarcMK2 • 19 september 2024 14:31

Zit in de risicoanalyse. Dat komt zelden voor, en dus aangeduid als laag.

MarcMK2 @magic_nl • 19 september 2024 22:52

Fair

Elaborate8455 18 september 2024 23:37

Ik vind 2700 nog best meevallen voor heel Nederland. Maar er zullen vast ook nog genoeg onbekende netwerken zijn.

Scriptkid 19 september 2024 06:00

Meschien een stomme vraag maar,

We verbieden isp om tpb door te geven.

Waarom verdien we de isp dan niet deze domains en ips door te geven dan is et probleem ook gepatched.

Helft van die huishoudens heb geen flauw idee hoe ze dat moeten fixen .

Nox @Scriptkid • 19 september 2024 07:37

Isp's hebben als taak verbinden en informatie door te geven. Niet om te filteren, dat is symptoombestreiding en dweilen met de kraan open.

Roko 19 september 2024 07:25

Aangezien ServiceNow en Confluence ook genoemd worden, welke veel gebruikt worden bij grote bedrijven als ticketing/collaboration systeem en met heel veel gebruikers, dan valt 2700 inderdaad heel erg mee. Maar nog steeds 2700 te veel.

MrBreaker 18 september 2024 21:09

Maar ook "MS Windows", dan heb je al een mooie opzet voor je botnetje

Caayn @MrBreaker • 18 september 2024 21:24

Geeft maar aan dat het belangrijk is om up-to-date te blijven.

De getroffen Windows 10 versies zijn ondertussen al een paar jaar oud en gezien er geen recentere versies getroffen zijn heb ik het idee dat de lek gedekt is met een security patch voor Windows Server 2016 en 1607, 1703 heeft al even geen support meer.

Als jouw Windows machine onderdeel is van dit botnet is dat toch echt jouw schuld.

[Reactie gewijzigd door Caayn op 18 september 2024 21:25]

MrBreaker @Caayn • 18 september 2024 21:42

Vreemde conclusie en zeker met de info van nu... Dus jij weet hoe lang dit botnet al actief is? En je weet ook zeker dat er geen MS machines getroffen zijn voor de patch. Er zijn gewoon bedrijven die nog support kopen bij MS.

Caayn @MrBreaker • 18 september 2024 21:50

Het botnet was actief sinds 2021, het lek in Windows is op 10 Oktober 2017 al gepacht door Microsoft. Wil je kwetsbaar zijn dan heb je zelf actief minstens vier jaar lang security updates tegengehouden.

https://msrc.microsoft.co...S/advisory/CVE-2017-11829

Uiteraard is het mogelijk dat de infectie eerder begon maar vier jaar is veel tijd om te overbruggen.

[Reactie gewijzigd door Caayn op 18 september 2024 21:52]

TD-er

@Caayn • 19 september 2024 07:53

Nu was er laatst een bug in MS' eigen update systeem waarbij er door een overflow jaren aan patches werden teruggedraaid.
Dus als jouw systeem hier last van had kon je door netjes alles te updaten juist weer oudere updates terugdraaien.

Geen idee hoe lang deze bug actief was en hoe waarschijnlijk het was dat je hier last van had, maar het is dus niet onmogelijk om door netjes te updaten je juist het tegenovergestelde resultaat kreeg.

JacOwns7 @TD-er • 19 september 2024 08:33

Doel je daarmee niet op dit verhaal?
https://www.bleepingcompu...es-fully-updated-systems/

Dat was geen bug, maar betrefte twee zero-days.

Henk Poley @TD-er • 19 september 2024 14:50

Om dat te doen moest je wel verregaande toegang tot het systeem hebben (zoals fysieke toegang, of Administrator toegang).

Triblade_8472 @MrBreaker • 18 september 2024 21:23

Maar ook "MS Windows", dan heb je al een mooie opzet voor je botnetje

Ik denk dat de lijst een foutje heeft gemaakt.

CVE-2019-11829 gaat over Synology en niet Microsoft.
CVE-2017-11829 gaat wél over Microsoft.
(jaartal is het verschil)

Maar ff serieus. Als je sinds 2017 je online OS niet meer geüpdatet hebt, dan weet ik niet of je met je vingers aan elektronica hoort te komen...

Ik denk niet dat je Microsoft kan beschuldigen van het niet patchen van hun systemen en het pogingen doen van het veilig houden ervan.

Audione0 18 september 2024 23:12

Wel gek dat een Amerikaanse inlichtingendienst hier achter komt maar niet een inlichtingendienst uit Nederland zelf..

ThorDUde @Audione0 • 25 september 2024 15:44

Ze werken samen waarschijnlijk en gaan elkaar infomeren.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (82)

Sorteer op:

Weergave: