Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Hacker kwam door verouderde cms-software Diginotar binnen'

Door , 39 reacties

De hacker die in 2011 de systemen van de voormalige certificaatverstrekker Diginotar wist binnen te dringen, gebruikte vermoedelijk een gat in de cms-software DotNetNuke. De website van Diginotar draaide op een sterk verouderde versie van DotNetNuke.

Dat meldt Nu.nl op basis van een onderzoeksrapport van ITsec, een beveiligingsbedrijf dat door Diginotar werd ingeschakeld om te achterhalen hoe de vermoedelijk Iraanse hacker binnen wist te dringen en vervolgens vervalste certificaten kon genereren. De onderzoekers van ITsec concludeerden dat de aanvaller vermoedelijk gebruik heeft gemaakt van een gat in DotNetNuke, een content management systeem waarop de website van Diginotar draaide. Het cms zou sinds 2008 niet meer zijn bijgewerkt, waardoor er zeker 30 patches niet waren uitgevoerd en de website een makkelijke prooi was voor aanvallers.

Nadat de hacker toegang had tot de webserver van Diginotar zou hij ongemerkt malware hebben gebruikt om wachtwoorden te verzamelen. De hacker wist uiteindelijk enkele beheerdersaccounts in handen te krijgen, mede omdat de systeembeheerders voor relatief zwakke Windows-wachtwoorden hadden gekozen. De vermeende hacker publiceerde onder andere het wachtwoord 'Pr0d@dm1n’. De hacker zou uiteindelijk toegang hebben verkregen tot twee systemen waarmee certificaten aangemaakt konden worden.

Diginotar slaagde er aanvankelijk in om de inbraak op zijn kritieke systemen een maand stil te houden. Een Iraanse internetgebruiker kwam er echter achter dat er gerommeld was met enkele ssl-certificaten. Hierdoor zou de Iraanse overheid enige tijd in staat zijn geweest om onder andere versleuteld dataverkeer van Gmail-gebruikers af te tappen. Nadat de inbraak bij Diginotar bekend werd, ging het snel bergafwaarts met de certificaatverstrekker; in september vorig jaar werd het bedrijf failliet verklaard.

Door Dimitri Reijerman

Redacteur

18-11-2012 • 15:13

39 Linkedin Google+

Lees meer

Reacties (39)

Wijzig sortering
Dat hangt vooral van de grootte van het bedrijf af.

In grote multinationals geld inderdaad het verhaal van erwinb. Als beheerder bepaal je niet welke software er draait. Zo hadden ze een jaar of 2 geleden bij een grote Nederlandse bank nog steeds redhat 3 systemen staan. Als beheerder kun je dat oude zooi vinden die allang al vervangen hoort te zijn door een versie waar nog tenminste support op zit, maar zie het maar eens door de papiermolen heen te krijgen. Voor 1 server is dat al een probleem, laat staan voor het vervangen van alle oude machines.
Om het nog maar niet eens te hebben over het draaien van XP met IE6 op de werkplekken...

Ik werk nu bij een veel kleiner bedrijf want die grote bedrijven cultuur spreekt me niet aan, en hier is het veel platter. Ik bepaal zelf de patch strategie. Het management heeft geen interesse om zich met dat soort details bezig te houden. Ze willen een stabiel serverpark, en hoe we dat met de IT afdeling voor elkaar krijgen mogen we zelf uitzoeken. Alleen als er geld uitgegeven moet worden bemoeien ze zich er mee.

Het ergste wat je denk ik als beheerder kan overkomen is een klein bedrijf met grote-bedrijven mentaliteit. Wel de nadelen van grote bedrijven en bemoeizuchtig management, maar niet de voordelen. Ik heb nog een half jaar ergens gewerkt waar het kleiner was dan m'n huidige baan, maar waar de baas het nodig vond om zich te bemoeien met patches en andere details. We hadden daar maar 2 echte Linux beheerders, maar af en toe voelde ik me meer een helpdesk medewerker...
Als het Windows OS net zo beroerd gepatched was als het CMS dan is het natuurlijk niet verrassend dat ze (local) admin access wisten te krijgen. Een enkele ongepatchte privilege escalation vulnerability is daarvoor al genoeg.

Zelfs als dat niet het geval is dan kan biedt een gekraakt systeem natuurlijk een prima uitgangspunt voor het verkrijgen van toegang tot de rest van het netwerk. Je zal vaak toegang hebben tot bestanden en databases (met een beetje mazzel met wachtwoorden die ook op andere systemen werken) en je hebt de mogelijkheid om lokaal applicaties te starten die op zoek gaan naar andere kwetsbaarheden op het netwerk.
Helemaal gelijk! Ik ben echt geen expert, maar ik wel wel ervaring met het opzetten van Apache2 op VPS voor klanten, en ik kan me gewoon niet voorstellen hoe DigiNotar zo heeft kunnen verzaken. Ik bedoel, ik ben autodidact, heb hier nooit enige opleiding voor gevolgd, je mag van mensen die bij een bedrijf als DigiNotar het netwerk beheren (en hiervoor zijn opgeleid?) toch verwachten dat ze hun security op orde hebben. De zaken die ik hierboven lees, dit is gewoon basis..

Mijn klanten krijgen netjes een account opgeleverd op de VPS, locked in hun directory, met een password van 20 chars long. Het sudo password staat veilig opgeborgen hier, mochten er problemen zijn.
Het ergste aan dit hele verhaal is, dat men bij DigiNotar dit een maand stil heeft gehouden, terwijl er waarschijnlijk mensen in Iran een maand lang bekend waren bij de autoriteiten. Je eigen hagje redden terwijl er mensen vermoord/gemarteld worden door jouw geprutst vind ik nog het kwalijkst. Je zou de verantwoordelijken hiervoor gepast moeten straffen indien het bekend is wat de gevolgen hiervan geweest zijn. Fouten maken is menselijk, maar als je bewust ervoor kiest om andere levens op het spel te zetten moet ter verantwoording geroepen worden.
Ahh het probleem van "niet-updaten"

Tijd lang problemen gehad met een paar hosting providers die PLESK niet hebben geüpdate (zowel privé als op werk) waardoor er allemaal gaten misbruikt werden door dit soort lui.

Alle sites hadden virussen/malware.

Na tig gesprekken heen en weer waarin 100% van de hosting providers mij/ons de schuld gaf dat we virussen op onze pc hebben en die via de ftp op de server zijn gekomen.

Na dagen offline te hebben gestaan, werd er pas toegegeven dat PLESK niet gepatched/geüpdate was. Terwijl dat al vanaf dag 1 duidelijk was.

Wat ik wil zeggen is misschien is het gewoon "onkunde" van de beheerder wat een groot gevaar altijd is en blijft
Toch wil ik dan weten hoe de vork in de steel zit. Mijn oma snapt nog dat oude software gebruiken zonder al te veel steekhoudende argumenten gewoon geen goed plan is.
Als systeembeheerder met meer dan 5 minuten ervaring waar dan ook en wat verantwoordelijkheidsgevoel krijg je toch jeuk op plekken waar je niet kan krabben als je ziet dat er ergens ernstig antieke software staat te draaien? Dat keer 1000 als je bedrijf zich bezigd met beveiliging? En als dat dan intern gebruik is dan is dat nog daar aan toe, maar als dat direct aan internet hangt?

Ik zou wel eens de hele situatie willen weten dat maakt dat dit zo is. Geloof er helemaal niets van dat dit op het bordje komt van 1 persoon.
Ook dat die website van ze aan hun netwerk hangt vind ik raar. Ik schop websites so veel mogelijk buiten de spreekwoordelijke deur, infra technisch.

[Reactie gewijzigd door Alpha Bootis op 19 november 2012 13:46]

niet updaten is 1, maar overal hetzelfde wachtwoord!! dat een beheerder zelfs een dergelijk wachtwoord in een cms systeem typed.. dat is iets wat ik altijd probeer de vermijden.. en als de beheerders nu hun wachtwoorden in een Secret Server (tool) zouden plaatsen. en dat die voor hun het wachtwoord automatisch gaat aanpassen , dan sluit je dergelijke dingen wel uit ;) een enterprise password management oplossing is dan geen overbodige luxe!!

[Reactie gewijzigd door mccs op 19 november 2012 15:19]

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*