Distributeur Ingram Micro is getroffen door ransomware

Distributeur Ingram Micro is getroffen door een ransomwareaanval. Het bedrijf erkent dit, maar geeft geen details over de aanvalsmethode, of er systemen zijn versleuteld en wat het losgeld bedraagt.

Ingram Micro, een van de grootste digitale distributeurs ter wereld, erkent dat het getroffen is door een cyberaanval, specifiek ransomware. Dit vond plaats op 'bepaalde interne systemen'. Het bedrijf zegt meerdere systemen offline te hebben gehaald en mitigerende maatregelen te hebben getroffen. Het bedrijf is ook een onderzoek gestart, maar zegt voorlopig nog niets over de aard van de aanval.

Volgens BleepingComputer zit de SafePay-ransomwarebende achter de hack. De site heeft het losgelddocument gezien. Op de website van SafePay is op het moment echter niets te zien over de Ingram Micro-hack. Dat kan betekenen dat Ingram Micro serieus onderhandelt over het betalen van losgeld. Veel bendes kiezen ervoor in zo'n geval nog geen informatie te delen over hun slachtoffer, maar voorlopig blijft dat wel speculatie.

Er is verder geen informatie bekend over de hack. Zo is niet duidelijk wat de losgeldeis is en wat de criminelen precies hebben gestolen. In de losgeldbrief staat een waarschuwing dat Ingram geen bestanden moet proberen te ontsleutelen, maar het is niet duidelijk of dat betekent dat er veel systemen zijn versleuteld. De brief kan namelijk ook een generiek bericht zijn.

Volgens BleepingComputer zouden de criminelen via de GlobalProtect-vpn binnen zijn gedrongen. Sinds de aanval op donderdag zouden onder andere het Xvantage-platform en het licentieplatform Impulse niet meer goed werken voor klanten.

Update, 11.34 uur - In de titel werd Ingram Micro een serviceprovider genoemd. Dat is aangepast naar distributeur.

Reacties (64)

Quad

7 juli 2025 08:26

Serieus probleem dit voor B2B (IT dienstverleners oa) en B2C ((web)shops aan particulieren). Licenties bestellen voor oa Microsoft365 is niet mogelijk, net als al het andere soft- en hardware. Kan zorgen dat bepaalde afspraken, bestellingen en leveringen niet plaats gaan vinden voorlopig. Dit gaat Ingram Micro heel veel geld kosten helaas.

Ingram Micro is een van de, zo niet de, grootste distributeur van de Benelux op het gebied van hard- en software.

PolarBear @Quad • 7 juli 2025 08:35

Ik zou inderdaad Ingram Micro ook eerder als distributeur van soft- en hardware beschrijven dan een serviceprovider (wat toch best algemeen is).

Heroic_Nonsense

@PolarBear • 7 juli 2025 08:42

Van hun site:

Ingram Micro (NYSE: INGM) is a leading technology company for the global information technology ecosystem. With the ability to reach nearly 90% of the global population, we play a vital role in the worldwide IT sales channel, bringing products and services from technology manufacturers and cloud providers to a highly diversified base of business-to-business technology experts.

Dit klink als iets van hetzelfde formaat als:

I single-handedly managed the successful upgrade and deployment of new environmental illumination system with zero cost overruns, and zero safety incidents.

(beschrijving van hoe je een lampje wisselt in CV-taal)

Ik lees dat als: we verkopen licenties en abonnementen aan wederverkopers en B2B.

Kenhas @Heroic_Nonsense • 7 juli 2025 08:50

Niet enkel licenties en abonnementen. Grote kans dat 80% van de hardware in een werk omgeving door hun magazijn is gekomen.

Start je een bedrijf op dat iets met hardware te maken heeft, kan je niet rond Ingram Micro of je moet kiezen voor een leverancier die op zijn beurt bij Ingram zit

Coffee @Heroic_Nonsense • 7 juli 2025 09:09

Dat is een leuke aanname, maar Ingram Micro doet best veel hoor!

Ze verkopen niet alleen aan licenties en abonnementen, maar verkopen ook hardware en bieden daarom diensten voor diens resellers: ze verzorgen opleidingen en trainingen, kunnen helpen met het uitvoeren van deployments en migraties, bieden consultancy, verzorgen de billing back-end, leveren technische ondersteuning in de naam van de supplier (bij sommige suppliers), handelen RMAs af, distributie/fulfillment, en zo nog wat meer zaken.

Ik werk niet voor ze, maar heb wel een paar kennissen die er werken. Daarbij zijn ze partner van mijn werkgever.

impatïent @Coffee • 8 juli 2025 14:32

Plus dat ze ook nog werken voor als fulfilment 123 inkt printerpapier enz. Ibood voor overjarig spul

duvekot @PolarBear • 7 juli 2025 08:42

Het is zeker wel een service provider .. zo laat Bol.com zijn volledige magazijn operatie uitvoeren door Ingram Micro Ceva Logistics tegenwoordig .. dus geen Ingram Micro meer. (Zie hieronder)

[Reactie gewijzigd door duvekot op 7 juli 2025 08:59]

HKLM_ @duvekot • 7 juli 2025 08:50

Volgens mij is dat vanuit Ingram Micro Commerce & Lifecycle Services welke nog wel die naam en branding gebruikt maar waar welke in 2022 is overgenomen door CEVA Logistics en niet meer valt onder Ingram Global

duvekot @HKLM_ • 7 juli 2025 08:58

Blijkbaar gemist...en het is nu dd CEVA ..

En ook net weer verlengd:

https://www.cevalogistics...gn-early-contract-renewal

Klaus_1250 @HKLM_ • 7 juli 2025 12:22

Naam en branding van Ingram Micro CLS word niet meer gebruikt door CEVA. Maar het is best een karwei om delen van een bedrijf over te nemen, zeker als fysiek en systeemtechnisch het onderdeel wat je overneemt verweven is met andere onderdelen van het bedrijf. Wat het nog lastiger maakt is dat IM CLS zelf in de jaren ervoor ook op overname pas was geweest en ook allerlei bedrijven had overgenomen, maar nog bezig was met de (IT) integratie. DocData bv.
Vandaar dat je op plekken nog wel eens oude namen en verwijzingen tegenkomt.

Auteur

TijsZonderH Nieuwscoördinator @PolarBear • 7 juli 2025 10:15

"Distributeur" vind ik ook vrij algemeen klinken. Ik heb geprobeerd iets te vinden wat alles samenvat wat ze doen in één term, is distributeur dan beter dan serviceprovider denk je?

PolarBear @TijsZonderH • 7 juli 2025 11:10

Serviceprovider is natuurlijk nog algemener, iedereen die een dienst verkoopt kan je beschrijven als serviceprovider.

Ik denk dat de meeste bezoekers Ingram Micro vooral bekend is als distributeur van hard- en software en dat ze daar nog meer dienstverlening omheen hebben is mooi meegenomen.

uiltje @TijsZonderH • 7 juli 2025 11:16

Het is een groot bedrijf, dus je gebruikt of een algemene term of je moet hun business weten te beschrijven op een lager niveau. Als ik het zo lees is distributeur (van hard- en software) hun core business, met diensten daaromheen. Bij service leverancier denk ik in ieder geval niet aan het verkopen van software en al helemaal niet aan warehousing of het distribueren van hardware. Maar ik ken Ingram te slecht om te verifiëren dat dit echt hun core is.

Hansie9999 @TijsZonderH • 7 juli 2025 12:15

Distributeur is zeker beter dan service provider,

Wij gebruiken meestal de term "groothandel" omdat zij verkopen aan ons de "kleinhandel" om dan weer door ons doorverkocht te worden aan de eindgebruiker,

c-nan @PolarBear • 7 juli 2025 09:09

Dat zijn ze zeker wel; Ingram Micro wordt Red Hat Certified Cloud Service Provider Distributeur

Destijds waren wij directe Red Hat Partner (let op: Partner, dus niet klant), na verloop van tijd moesten we inkoop via Ingram Micro laten lopen, kon niet meer direct bij Red Hat.

RhyX @Quad • 7 juli 2025 08:58

De Cloud Marketplace is intern nog wel beschikbaar. Je kunt bestellingen en wijzigingen per mail doorgeven aan Ingram. Hoe snel hier op geacteerd wordt, is mij niet duidelijk.

Strebor

@RhyX • 7 juli 2025 18:33

Heb jij al een reactie gehad op een bestelling? Mijn licentie uitbreiding aanvraag per mail is nog niet behandeld.

itlee @Quad • 7 juli 2025 08:44

Gewoon zorgen als it partij dat je bij meerdere distris kan inkopen. Als ingram down is kan je ook inkopen bij tech data.

En hardware kan je overal kopen heb je een distri niet voor nodig.

Op licentie vlak is 't wel een ander verhaal maar voor o365 kan je je klant best uitleggen dat de distri niks kan leveren een paar dagen. Dus ja 't is vervelend maar de wereld draait gewoon door en we moeten als mens gewoon een beetje geduld hebben. 👌🏻

vrow @itlee • 7 juli 2025 10:38

Gewoon zorgen als it partij dat je bij meerdere distris kan inkopen. Als ingram down is kan je ook inkopen bij tech data.

En hardware kan je overal kopen heb je een distri niet voor nodig.

Op licentie vlak is 't wel een ander verhaal maar voor o365 kan je je klant best uitleggen dat de distri niks kan leveren een paar dagen. Dus ja 't is vervelend maar de wereld draait gewoon door en we moeten als mens gewoon een beetje geduld hebben. 👌🏻

Mooi verhaal: eerst zeg je: zorgen dat je bij meerdere distri's klant bent zodat je elders kan inkopen. Dat klopt. Vervolgens zeg je dan je 'hardware overal kunt inkopen zonder distri'.

Maar als Ingram van vandaag op morgen onverwachts helemaal niks meer doet, dan gaat het toch echt wel even duren voordat andere partijen dat over kunnen nemen. Weet je hoeveel mensen er bij Ingram werken en hoe groot zij zijn? Hoe denk je dat de hardware 'overal' terechtkomt dan?

Dit klinkt een beetje als: we hoeven geen waterzuivering meer, want je kunt overal wel gewoon flessen water kopen. Waar komen die flessen water dan vandaan? En als er geen water meer uit de kraan komt, hoe lang denk je dat er dan nog water in flessen te koop is...?

En qua licenties: dat kan juist niet. Er begint een nieuwe collega, die heeft een MS365-licentie nodig. Klanten 'moesten' van ons allemaal in de cloud. Wat dat was helemaal te gek. Dus die kun je niet uitleggen dat ze nu vanwege licentie-issues geen nieuwe collega kunnen aansluiten.

itlee @vrow • 7 juli 2025 16:15

1; Als je goede ondernemer bent (in de IT business) zorg je dat je bij meer mensen kan inkopen dan 1. dat voorkomt meteen dat als ingram stil ligt je niks meer kan krijgen.

2; Techdata (lees TDSynnex tegenwoordig) werken ook tienduizenden mensen en is groter als ingram.
TD SYNNEX is een wereldwijde distributeur en aggregator van oplossingen voor het IT-ecosysteem, ontstaan uit de fusie tussen Tech Data en Synnex eind 2021. Het is de grootste distributeur van IT-technologieën ter wereld en heeft Ingram Micro na de fusie (vanaf 2022) overtroffen .

3; voor Microsoft licenties kan je wel een extra distri toevoegen in je klantentenants. Je MCP nummer van MS kunnen ze gewoon opvragen en kan je een extra distri koppelen en dus licenties toevoegen.

4; Als je een serieuze IT-reseller bent (klein of groot maakt niet uit) zorg dat je bij je klant nooit max max licenties zit. zorg dat je er minimaal 1 of 2 extra lic's hebt zodat je niet elke keer je inkoop kanaal moet benaderen en als ze dus offline zijn je niet meteen kan schakelen. (en ja het kost geld voor de eind klant, maar t kost meer geld als een medewerker uit zn neus zit te eten omdat ie niet kan werken.

5; er zijn genoeg leveranciers die ook tweedehands servers / serverhardware verkopen, dus als je moet bloedspoed iets nodig hebt is zelfs daar een instant oplossing voor. en anders voorziet tweakers prima in adresjes voor hardware.

ik doe t spel al 25 jr in de IT, en 15 jr voor mezelf, alles is op te lossen als je maar creatief bent en beetje vooruitdenkt en zorgt dat je "sociale netwerk van leveranciers en ondernemersvrienden op orde is moet t gek lopen dat je t niet gefixt krijgt.

William_H @vrow • 7 juli 2025 12:36

En qua licenties: dat kan juist niet. Er begint een nieuwe collega, die heeft een MS365-licentie nodig. Klanten 'moesten' van ons allemaal in de cloud. Wat dat was helemaal te gek. Dus die kun je niet uitleggen dat ze nu vanwege licentie-issues geen nieuwe collega kunnen aansluiten.

De meeste IT servicedesks hebben wel een aantal seats open staan als "voorraad". Juist voor dit soort zaken. Als er onverwachts iemand snel moet beginnen, wil je niet wachten op het hele traject van goedkeuring om extra licenties te mogen kopen van Inkoop. Daarnaast als iemand vertrekt, komt er weer een license vrij, en hoef je echt niet nieuwe licenties voor te kopen.

Drunken_Bear @William_H • 7 juli 2025 13:49

Dat ligt er maar net aan of je klant graag wil betalen voor ongebruikte licenties.

Lextreme @itlee • 7 juli 2025 11:38

Dit lijkt me niet een gewenste situatie, je moet dan meerdere partnerrelaties in stand houden. Daarnaast ga je met je onderhandelingen ook flink wat missen als je de handel door twee deelt per aanbieder.

In een paniek situatie kun je ook nog direct bij Microsoft in kopen met creditcard. Aangezien je ook maandlicenties kan nemen kun je altijd wat dus.

dasiro @Quad • 7 juli 2025 18:21

Dit gaat Ingram Micro heel veel geld kosten helaas.

of toch hun verzekeringsfirma, want dit soort risico's wordt door grote bedrijven afgedekt om in een geval zoals nu niet kopje onder te gaan aan de schadeclaims of diefstallen.

denios @Quad • 7 juli 2025 20:39

Mwah, er zijn 3 andere grote distris, waar iedereen die bij Ingram koopt, ook klant is.
Het is vooral vervelend voor Ingram zelf.

las3r 7 juli 2025 08:31

Dit wordt inderdaad een leuke maandag. Ik moet zeggen, op Reddit gaf men al aan dat sinds woensdagavond / donderdagnacht problemen waren met de API en/of hun klantenportaal. Men gaf daar toen al aan dat "I am hearing signals of them being crypto'd". Dus dit is al wel wat langer bekend.

Ingram Micro is echt een enorm grote tent, ik ben heel benieuwd wat de scope is, en of we preventief zaken als rollen/rechten van O365 / Azure moeten gaan blokkeren en/of suspenden. Onze accountmanager gaf gisteren aan "net geïnformeerd" te zijn.

William_H @las3r • 7 juli 2025 12:37

Waarom zou je rollen/rechten moeten aanpassen als Ingram is gehackt? Neem toch aan dat zij niet direct toegang hebben tot je tenant?

d4damager @William_H • 7 juli 2025 12:57

Via admin portal office 365 kan je via settings naar partner relationships gaan, daar staat uw software distributeur ook tussen. Als daar rollen aan gekoppeld zijn dan verwijder je die best. Al stonden die rollen bij ons standaard al op "none".

William_H @d4damager • 7 juli 2025 14:19

Dat snap ik. Maar wat ik niet snap is dat een distributeur rollen moet hebben op een tenant van een klant. Waarom?

mcchicken @William_H • 7 juli 2025 14:57

Voor o.a. support. Vroeger was het DAP. Nu gelukkig GDAP alhoewel er dan nog genoeg zijn die overbodig veel rechten willen hebben.

soioneet @las3r • 7 juli 2025 16:17

Mag ik je vragen op welk subreddit je de info hebt gevonden? Lijkt me een goede bron om in-the-loop te zijn.

las3r @soioneet • 7 juli 2025 16:25

tuurlijk, op r/msp !

FrostyPeet 7 juli 2025 08:45

"Vroeger" was ik ook van dat open internet, het vrij vloeien van ideeën voor een betere toekomst.

Nu neig ik steeds meer naar een Great European Firewall. Internet is nu een wapen geworden. Veel mensen hoeven helemaal geen inkomende verbindingen uit de bekende hacker landen te hebben.

Het is niet te geloven dat "gerammel" aan ip poorten, het proben.

Ik vond het aardig ontnuchterend dat bijvoorbeeld bij de installatie van een office voip telefoontoestel er toevallig poort 5060 open stond. Binnen 20 minuten na het inpluggen van het toestel en het "provisionen" van het nummer bij een sip aanbieder kwam de eerste sipvicious aanval. Het probleem werd opgelost. Het geeft voor mij maar weer eens aan hoe verschrikkelijk het internet is geworden. Hoe machteloos de service providers, de overheid, het leger en de EU is. Al dat geneuzel over high tech crime quick response action teams is gewoon een wassen neus.

Goldwing1973 @FrostyPeet • 7 juli 2025 12:16

Nou heb ik best wat ervaring met VoIP, maar het openzetten van 5060 -> VoIP telefoon is toch echt een handmatige actie , of je moet uPnP nog aan hebben staan op de router, wat sowieso al helemaal een no-no is

En een VoIP toestel zonder een firewall ertussen aan het internet hangen is al helemaal vragen om problemen.

FrostyPeet @Goldwing1973 • 7 juli 2025 13:47

Natuurlijk is het opletten met een router en hardware/software die er onder hangt.

Wat mij verraste was de snelheid waarmee die sipvictious gasten handelen. Wat is de kans dat ze net op het ip adres uitkomen op die ene poort om het moment dat alles ingesteld wordt. Die poort stond even open omdat er wat opstart problemen waren en ik zeker wilde weten dat het niet aan de router/firewall lag.

Net zoiets als dat je je huis inricht, even de buitendeur open laat staan om alles naar binnen te laten en dan merken dat er iemand anders mee naar binnen glipt om wat rond te kijken of te stelen.

Schijnbaar zijn er mensen dus continue alles aan het scannen voor iets waarbij ze naar binnen komen. De router stond jarenlang hermetisch dicht, is nu hermetisch dicht. En ja, er werd best wel eens aan het ip adres gerammelt, of alle poorten afgetast. Maar daar zat toch zeker 1 dag tussen elke "inbraakpoging".

Echt bizar.

Triblade_8472 @FrostyPeet • 7 juli 2025 22:46

Hoe ga je dat voor elkaar boksen dan? Alle 'echte' hackergroepen plaatsen een satelliet modem ergens in Europa, koppelen dat ding aan een wifi verbinding of vaste lijn en gaan gewoon hun gang alsof ze direct vanuit hun eigen land hacken.

Je gaat het leven 100x moeilijker maken terwijl je feitelijk niks oplost.

Je zou hoogstens een 'eigen' internet kunnen maken voor overheid (die bestaat al; Gemnet\Diginetwerk\GGI) en (groot)zakelijk, naast het reguliere internet. Het is zeker geen zilveren kogel, maar ja.

FrostyPeet @Triblade_8472 • 8 juli 2025 09:53

Ik ben geen hacker expert. Paar filosofische overwegingen.

Als een ISP binnen in de Great Europe Firewall zich niet gedraagt dan wordt die van de rest afgekoppeld. Het hoeft niet zo ingewikkeld te zijn. Als jouw buurman met lockpickingtools de straat rondloopt en overal probeert binnen te komen verwacht je ook dat hij wordt opgepakt.

Ik ben geen fan van Great Firewalls en als 60-jarige kende ik nog de grote vrijheid van het begintijd van het internet. Maar die tijd is al lang voorbij. Het zijn nu de grote bedrijven die internet hebben overgenomen, regeringen gebruiken het als wapen en Nederland is een digitaal glazen huis geworden. Het is wachten tot er een keer echt iets catastrofaal fout gaat en dan mogen ze allemaal weer "geschokt" zijn in de Tweede kamer. De bekende landen lachen zich rot over zoveel naïviteit. Een kreet die ik wel eens hoorde was dat Nederland suïcidaal efficiënt wil zijn om alles maar aan internet te hangen.

ScreamGT 7 juli 2025 09:07

Ik heb zelf bij een IT disty gewerkt en werk nu veel samen met o.a. Ingram en enkele andere grote jongens in de markt. De impact van zo een ransomware attack is echt bijzonder groot. Los van alle licentie renewals en API koppelingen met diverse webshops is ook het stukje fulfillment een hele grote tak van deze partij. Hopelijk zijn niet alle processen geraakt… maar zover ik vanuit hier kan zien lopen de orderstromen vast en kan er geen update getoond worden. Heel zuur dit.

Sluuut 7 juli 2025 09:28

Het gebeurd toch wel vaker dat ransomware groepen als 1e ingang via global protect (Palo Alto VPN client) binnenkomen.

Naast het update proces van deze clients is het ook belangrijk om de VPN enkel vanaf beheerde devices toe te staan (of op unmanaged devices in ieder geval een up-to-date windows versie / antivirus versie te vereisen) en ook een 2e factor zoals een certificaat te gebruiken (wat een korte verloop- & renewaltijd heeft).

CyberTijn @Sluuut • 7 juli 2025 11:25

We moeten gewoon collectief af van die Remote Access VPN oplossingen waarbij met één VPN een medewerker vanaf het internet het hele interne corporate netwerk op kan. ZTNA is the way to go. Het is een kut klus om dit een grote organisatie voor elkaar te krijgen, vooral op plekken waar veel legacy applicaties worden gebruikt, maar we moeten hier wel met z'n allen naartoe.

[Reactie gewijzigd door CyberTijn op 7 juli 2025 11:26]

Sluuut @CyberTijn • 7 juli 2025 12:53

vanaf het internet het hele interne corporate netwerk op kan

Natuurlijk geef je least priviledge toegang tot enkel de resources waar de client bij moet kunnen.

Ik ben het niet helemaal eens met het punt dat endpoints van VPN af móeten. Wat doe je dan aan rogue access points? Stel een medewerker gaat nietsvermoedend in een Starbucks zitten en connecteerd naar "Starbucks" wifi, wat een sniffing rogue AP is. Vervolgens zijn er non-encrypted apps waarbij alle data door de man in the middle te zien is. Dat is naar mijn weten enkel op te lossen door een VPN in te zetten zodat in ieder geval 100% van het verkeer encrypted is van de client naar alle diensten.

CyberTijn @Sluuut • 7 juli 2025 13:10

Lees je even in in wat ZTNA is en dan heb je antwoord op je vraag.

MPAnnihilator @CyberTijn • 7 juli 2025 14:31

Is gewoon luiheid, ZTNA vereist serieus wat moeite binnen grote ondernemingen. Is op alle vlakken in ICT een afweging tussen effort/business needs & security. Als security engineer is het evident dat je via remote VPN niet overal aan zou mogen komen, helaas in de praktijk...

kodak

Beveiliging en antivirus
Ransomware

7 juli 2025 09:50

Volgens BleepingComputer zouden de criminelen via de GlobalProtect-vpn binnen zijn gedrongen.

Bleeping computer stelt dat iemand vermoed dat de vpn gebruikt is om binnen te dringen. Waarop dat vermoeden is gebaseerd is niet duidelijk. Wel vermeld het direct daarop dat medewerkers het advies hebben gekregen de vpn en andere systemen niet meer te gebruiken omdat die getroffen zijn door de aanval. Maar een systeen dat is getroffen is niet zomaar ook gebruikt om binnen te dringen.

Urk

7 juli 2025 10:47

Donderdagmiddag/avond om 18:00 uur heb ik nog een mailtje gestuurd naar een Dell accountmanager dat Ingram XAdvantage plat lag, toen een normale nginx foutmelding. Ik kreeg wel toen reactie per e-mail dus dat werkt allemaal.

Wat ik wel vreemd vind is dat ik nu maandagochtend nog geen e-mail heb ontvangen over dit incident. Ik zie het toevallig nu ik net weer probeer in te loggen in XAdvantage.

Tot slot neem ik aan dat Ingram wel een offsite + offline backup heeft die ze snel kunnen terugzetten van de betreffende systemen... Vast dat je dan de nodige transacties mist die ook weer koppelen met Microsoft systemen en gok dat dat nu druk wordt geïnventariseerd.

Flytezero 7 juli 2025 10:47

De communicatie is wel erg slecht, of worden er klanten op een andere manier op de hoogte gehouden? Zelf heb ik nog geen andere communicatie gezien dan het bericht naar een nieuws artikel op de site.

het weghalen van gdap is bij voorbaat al wel een slim idee los van dit probleem. Deze zijn enkel nodig voor support.

Urk

@Flytezero • 7 juli 2025 10:57

Dat is een heel goed idee het loshalen van GDAP rechten. Ik heb hier toevallig met Ingram al eerder een discussie over gehad. Standaard krijgt Ingram namelijk zelfs Global Admin rechten in een tenant van een klant, dat vond ik al vreemd en dus voor sommige klanten al aangepaste GDAP rechten laten aanmaken. Bij een andere distri zag ik dat voor het inschieten van licenties er zelfs helemaal geen GDAP rechten nodig zijn....

Het nadeel lijkt alleen dat ik nu alle tenants van klanten handmatig moet inloggen om de GDAP rechten weg te halen. Via het Microsoft Partner Center kan dat natuurlijk alleen voor m'n eigen partner account..

edit:
ik zie dat Ingram bij enkele van mijn klanten maar Global Admin rechten had, het meerendeel was beperkt maar wel User Admin rechten, en dat is natuurlijk een linke gezien daar users mee verwijderd of toegevoegd kunnen worden.

[Reactie gewijzigd door Urk op 7 juli 2025 13:44]

uiltje @Urk • 7 juli 2025 11:18

Dat klinkt inderdaad niet als zero-trust.

Cyberpuppy @Flytezero • 7 juli 2025 11:40

Lijkt nu wel inderdaad heel actueel te worden. Probleem is dat dat hele GDAP heel erg onduidelijk is, dus ook lastig vast te stellen welke rechten er wel nodig zijn.

Op dit moment zou ik ze wel (tijdelijk) verwijderen. Gewoon uit voorzorg.

droba 7 juli 2025 08:24

mocht het idd de Palo - Global protect zijn dan moet dat haast deze CVE zijn:

https://security.paloaltonetworks.com/CVE-2024-3400

** die had je natuurlijk kunnen patchen

pven @droba • 7 juli 2025 08:36

Assumptions ...

Tweakez @pven • 7 juli 2025 08:42

are mother of all fuckups

droba @pven • 7 juli 2025 08:56

er zitten meer aannames in het artikel

Lextreme @pven • 7 juli 2025 11:41

... besparen veel tijd!.... oh dat is denk niet de kern van het verhaal.

themadone @droba • 7 juli 2025 10:38

Zelfs als dat al zo is is het natuurlijk niet heel best dat dan de rest van je netwerk blijkbaar niet hardened is. Als ze hier de firewall compromisen komen ze nog nergens, nou ja, je kan het netwerk scannen, succes daarmee zeggen we dan. Alles is 2 factored en vaak nog virtueel gescheiden, tel daarbij een MDR oplossing die servers per direct isoleert als er iets geks gebeurt en je zit nog steeds redelijk veilig bij een compromise van je firewall.

Ik vrees dat we de RCA nooit gaan zien, maar het is meestal een combinatie van factoren die ervoor zorgt dat je spullen op deze manier worden gesloopt. Voor een dienstverlener van het formaat ingram wel een beetje slecht.

duvekot 7 juli 2025 08:40

Misschien ook wel goed om te vermelden dat Bol.com hun volledige magazijn laat draaien door Ingram Micro Ceva Logistics. Maar zolang er niet duidelijk is wat er precies geraakt is ..kan je weinig zeggen over de impact (is het bijvoorbeeld alleen US? Of ook Europese systemen)

edit:
Het onderdeel wat de logistiek doet voor Bol.com is overgenomen door Ceva een paar jaar geleden .. dus niet meer door Ingram Micro.

[Reactie gewijzigd door duvekot op 7 juli 2025 09:01]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (64)

Sorteer op:

Weergave: