Beschrijving

Er bevindt zich een kritieke kwetsbaarheid (CVE-2023-22518) in Atlassian Confluence Server en Atlassian Confluence Data Center waarvan aanvallers op dit moment actief misbruik maken. De kwetsbaarheid maakt het mogelijk om zonder authenticatie een reset uit te voeren van de Atlassian-database en een nieuw beheeraccount aan te maken. Het lijkt niet mogelijk om via deze kwetsbaarheid gevoelige informatie uit de bestaande Atlassian-database te verkrijgen. Atlassian heeft op 31 oktober 2023 patches uitgebracht voor deze kwetsbaarheid waarvoor nu ook exploitcode is verschenen.

Op basis van de publiek beschikbare aanvalscode is de inschatting van Pinewood dat de kwetsbaarheid eenvoudig te gebruiken is. Hiermee is de kans groot dat kwetsbare en via het internet bereikbare installaties via deze kwetsbaarheid gecompromitteerd worden of al gecompromitteerd zijn.

Let op: het betreft hier een andere kwetsbaarheid dan de kwetsbaarheid waarover wij op 12 oktober 2023 een security bulletin verstuurden (CVE-2023-22515).

Kwetsbare versies

De onderstaande versies van Confluence Server en Data Center bevatten de genoemde kwetsbaarheid:

• 7.19.0 t/m 7.19.15
• 8.0 (alle versies)
• 8.1 (alle versies)
• 8.2 (alle versies)
• 8.3.0 t/m 8.3.3
• 8.4.0 t/m 8.4.3
• 8.5.0 t/m 8.5.2

Op basis van de door Atlassian aangeleverde omschrijving lijken alle versielijnen kwetsbaar te zijn, maar zijn er voor een aantal van deze versielijnen (8.0, 8.1, 8.2) nog geen updates beschikbaar.

Cloud-installaties, herkenbaar aan het atlassian.net-domein, zijn niet (meer) kwetsbaar.

Oplossingen en tijdelijke mitigaties

Atlassian heeft onderstaande versies van Confluence Server en Data Center uitgebracht om de betreffende kwetsbaarheid te verhelpen:

• 7.19.16 (en nieuwer)
• 8.3.4 (en nieuwer)
• 8.4.4 en nieuwer)
• 8.5.3 (en nieuwer)

Voor zover bekend is de kwetsbaarheid (nog) niet opgelost met updates voor de 8.0, 8.1 en 8.2 versielijnen. Atlassian adviseert dan ook gebruik te maken van een Long Term Support (LTS) versie van Confluence Server en/of Data Center (de 7.19 en 8.5 versielijnen).

Aangezien misbruik van de kwetsbaarheid leidt tot het verlies van de Atlassian-database is het tevens raadzaam om te zorgen voor een actuele backup van de database om hier in het geval van een succesvolle aanval op terug te kunnen vallen.

Detectie van mogelijk misbruik

Aangezien misbruik van de kwetsbaarheid zal leiden tot een reset van de Atlassian-database, zal misbruik van een productiesysteem zeker niet onopgemerkt blijven. Atlassian geeft aan dat de volgende signalen kunnen duiden op succesvol misbruik van deze kwetsbaarheid:

• Verlies van data of sterk aangepaste data.
• Verlies van toegang tot de URL waarop de Atlassian-instance draait.
• Onmogelijkheid om met bekende credentials te authenticeren.
• Aanwezigheid van verdachte bestanden in de folder <confluence-local-home>/temp.

Daarnaast bevatten diverse logbestanden op een gecompromitteerde server mogelijk aanwijzingen van het misbruik. Een overzicht van deze bestanden en de inhoud waarop men dient te zoeken, is terug te vinden in de FAQ van Atlassian.

Meer informatie

• https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html
• https://confluence.atlassian.com/kb/faq-for-cve-2023-22518-1311474094.html

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center (SOC). Het Pinewood SOC is bereikbaar via +31 15 251 36 33 en via soc@pinewood.nl.

===== ENGLISH =====

Description

Attackers are actively exploiting a critical vulnerability (CVE-2023-22518) in Atlassian Confluence Server and Atlassian Confluence Data Center. The vulnerability allows an attacker to reset the instance database and to create a new administrative account. It seems the vulnerability does not allow an attacker to gain access to the contents of the current database. Atlassian released patches for this vulnerability on October 31, 2023. Exploit code for this vulnerability was also recently published.

Based on the public Proof-of-Concept (PoC) code, Pinewood estimates that the vulnerability is easy to exploit. With this, there is a high probability that vulnerable and Internet-accessible installations will be compromised via this vulnerability or have already been compromised.

Note: the vulnerability described in this bulletin is a different one than the vulnerability that we described in a previous security bulletin on October 12, 2023 (CVE-2023-22515).

Vulnerable versions

The following versions of Confluence Server and Data Server contain the listed vulnerability:

• 7.19.0 up to and including 7.19.15
• 8.0 (all versions)
• 8.1 (all versions)
• 8.2 (all versions)
• 8.3.0 up to and including 8.3.3
• 8.4.0 up to and including 8.4.3
• 8.5.0 up to and including 8.5.2

Based on the information from Atlassian, all version lines seem to be affected, but for some of these (8.0, 8.1, 8.2) no updates were released (yet).

Cloud installations, identified by the atlassian.net domain, are not vulnerable (anymore).

Solutions and workarounds

Atlassian has released the below versions of Confluence Server and Data Center to fix the affected vulnerability:

• 7.19.16 (and newer)
• 8.3.4 (and newer)
• 8.4.4 (and newer)
• 8.5.3 (and newer)

As far as we know, the vulnerability has not (yet) been fixed in the 8.0, 8.1 and 8.2 version lines.

Because successful exploitation leads to a reset of the Atlassian database, we recommend to make sure that an up-to-date backup of this database is available to restore any data from.

Detection of possible misuse

Because successful exploitation of this vulnerability will lead to a reset of the Atlassian database, this will surely be detected in a production environment. Atlassian describes the following symptoms that indicate exploitation of this vulnerability:

• Observation of significant data loss.
• Not able to connect to your instance’s URL anymore.
• Not able to properly authenticate to the instance anymore.
• If able to authenticate, the instance won’t have any content created and/or different content than it originally had.
• Suspicious files and/or directories created under <confluence-local-home>/temp folder.

In addition, several log files on a compromised server may contain signs of the compromise. For a full list of log files and the contents that administrators should look for, see the FAQ released by Atlassian on this vulnerability.

More information

• https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html
• https://confluence.atlassian.com/kb/faq-for-cve-2023-22518-1311474094.html

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center (SOC). The Pinewood SOC can be contacted at +31 15 750 1331 and via soc@pinewood.nl.

Beschrijving

Cisco heeft updates uitgebracht voor een ernstige kwetsbaarheid in de WebUI-functie van Cisco IOS XE Software die een aanvaller in staat stelt om op afstand (en zonder authenticatie) volledige controle te verkrijgen over een getroffen apparaat. Naast de eerdere kwetsbaarheid die al bekend was (CVE-2023-20198), blijken aanvallers ook misbruik te maken van een aanvullende kwetsbaarheid (CVE-2023-20273) voor het installeren van een malafide implant op kwetsbare devices.

Aanvallers maken al enige tijd misbruik van deze kwetsbaarheden waardoor de kans op compromittatie van een device dat met de WebUI-functie bereikbaar is vanaf het internet, groot is.

Kwetsbare versies

De kwetsbaarheid bevindt zich in alle devices met onderstaande Cisco IOS XE versies:

• 17.9.4 ouder dan 17.9.4a
• 17.6.6 ouder dan 17.6.6a
• 17.3.8 ouder dan 17.3.8a
• 16.12.10 ouder dan 16.12.10a

Misbruik van de kwetsbaarheid vanaf internet is alleen mogelijk indien de WebUI-functie bereikbaar is vanaf het internet, in de regel via poort 80/tcp (HTTP) of 443/tcp (HTTPS). Om te bepalen of de WebUI is ingeschakeld voor een systeem, kan op het systeem het commando “show running-config | include ip http server|secure|active” uitgevoerd worden om te controleren of één van beide opdrachten aanwezig is in de globale configuratie.

Als het “ip http server” commando aanwezig is en de configuratie ook “ip http active-session-modules none” bevat, is de kwetsbaarheid niet te misbruiken via HTTP.

Als het “ip http secure-server” aanwezig is en de configuratie ook “ip http secure-active-session-modules none” bevat, kan de kwetsbaarheid niet via HTTPS worden uitgebuit.

Oplossingen en tijdelijke mitigaties

Cisco heeft IOS versie 17.9.4a (voor Routing/SDWAN en IOT) uitgebracht om de kwetsbaarheid met CVE-2023-20198 te verhelpen. Wij raden aan om deze update z.s.m. te installeren op kwetsbare devices. Cisco heeft aangegeven binnenkort ook met updates te komen voor Cisco IOS XE 17.6.6, 17.3.8 en 16.12.10. Wij raden aan de beschikbaarheid hiervan te monitoren via de website van Cisco.

Daarnaast is het advies om – als best practice – de WebUI uit te schakelen of in ieder geval niet bereikbaar te laten zijn vanaf het internet. Het uitschakelen van de WebUI is mogelijk met de commando’s “no ip http server” en “no ip http secure-server” in de globale configuratiemodus. Gebruik na het uitschakelen van de HTTP-serverfunctie het commando “copy running-configuration startup-configuration” om de configuratie op te slaan.

Detectie van mogelijk misbruik

Nieuwe user accounts

Het is bekend dat aanvallers bij het misbruiken van de kwetsbaarheden een reeks aan accounts aanmaken. Controleer op kwetsbare devices daarom in ieder geval of de gebruikers “cisco_support”, “cisco_tac_admin” of “cisco_sys_manager” zijn aangemaakt. Het is bekend dat de aanvallers deze accounts in sommige gevallen later ook weer hebben verwijderd, waardoor het ontbreken ervan geen definitieve indicatie vormt dat aanvallers geen misbruik hebben gemaakt van dit systeem. Controleer daarom ook de logging van het device op de aanwezigheid van deze gebruikersnamen (of andere verdachte gebruikersnamen).

Aanwezigheid van implant

Daarnaast is het mogelijk te controleren of aanvallers een malafide implant op het device hebben geplaatst. Maak hiervoor gebruik van het curl-commando i.c.m. onderstaande aanroep (vervang hierin DEVICEIP door het IP-adres van het device dat men wil controleren, vervang https:// door http:// indien de WebUI op HTTP is geactiveerd):

“curl -k -X POST “https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1”

Indien bovenstaand commando een hexadecimale string retourneert, is de implant zeer waarschijnlijk aanwezig en is het device gecompromitteerd. Daarnaast geeft het commando alleen een resultaat wanneer de aanvaller de webserver op het device een herstart heeft gegeven na de compromittatie.

Installatie van de implant is ook zichtbaar in de logging van het device. Controleer daarom op de aanwezigheid van logregels van het type “%WEBUI-6-INSTALL_OPERATION_INFO” om te zien of hier verdachte activiteiten terug te vinden zijn.

Communicatie vanaf verdachte IP-adressen

Volgens Cisco hebben de aanvallers gebruikgemaakt van drie verschillende IP-adressen om aanvallen uit te voeren. Communicatie vanaf deze IP-adressen vormt daarom een indicatie van mogelijk misbruik. Het betreft de IP-adressen 5.149.249[.]74, 154.53.56[.]231 en 154.53.63[.]93. Het Pinewood SOC heeft deze indicatoren opgenomen in de monitoring en heeft tevens een historische controle uitgevoerd op de logging van aangesloten SOC-klanten.

Meer informatie

• Cisco Security Advisory – Cisco IOS XE Software Web UI Privilege Escalation Vulnerability
• Cisco – Software Fix Availability for Cisco IOS XE Software Web UI Privilege Escalation Vulnerability – CVE-2023-20198
• Cisco Talos Intelligence Blog – Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerabilities
• CISA Alert – Cisco Releases Security Advisory for IOS XE Software Web UI
• NCSC-NL – NCSC-2023-0526: Kwetsbaarheid verholpen in Cisco IOS XE

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

Cisco released updates for a serious vulnerability in the WebUI feature of Cisco IOS XE Software that allows an unauthenticated remote attacker to take full control of an affected device. In addition to the previously known vulnerability (CVE-2023-20198), attackers are exploiting an additional vulnerability (CVE-2023-20273) to install a malicious implant on vulnerable devices.

Attackers have been abusing these vulnerabilities for some time, which means there is a high risk of compromise of a device that is accessible from the internet with the WebUI function enabled.

Vulnerable versions

The vulnerability is present in all devices with the following Cisco IOS XE versions:

• 17.9.4 before 17.9.4a
• 17.6.6 before 17.6.6a
• 17.3.8 before 17.3.8a
• 16.12.10 before 16.12.10a

Abuse of the vulnerability from the internet is only possible if the WebUI function is accessible from the internet, usually via port 80/tcp (HTTP) or 443/tcp (HTTPS). To determine if the WebUI is enabled for a system, run the command “show running-config | include ip http server|secure|active” to check whether either command is present in the global configuration.

If the “ip http server” command is present and the configuration also contains “ip http active-session-modules none”, the vulnerability cannot be exploited via HTTP.

If the “ip http secure-server” is present and the configuration also includes “ip http secure-active-session-modules none”, the vulnerability cannot be exploited via HTTPS.

Solutions and workarounds

Cisco has released IOS version 17.9.4a (for Routing/SDWAN and IOT) to address the CVE-2023-20198 vulnerability. We recommend installing this update on vulnerable devices as soon as possible. Cisco has indicated that it will soon also release updates for Cisco IOS XE 17.6.6, 17.3.8 and 16.12.10. We recommend monitoring its availability via the Cisco website.

In addition, it is advisable – as a best practice – to disable the WebUI or at least make it inaccessible from the internet. Disabling the WebUI is done by setting “no ip http server” and “no ip http secure-server” in global configuration mode. After disabling the HTTP server feature, use the command “copy running-configuration startup-configuration” to save the configuration.

Detection of possible misuse

New user accounts

When exploiting the vulnerabilities, attackers are known to create a range of accounts. Therefore, check the user accounts “cisco_support”, “cisco_tac_admin” or “cisco_sys_manager” have been created on vulnerable devices. It is known that in some cases the attackers deleted these accounts afterwards, so their absence is not a definitive indication that attackers have not abused this system. Therefore, also check the logging of the device for the presence of these usernames (or other suspicious usernames).

Presence of implant

In addition, it is possible to check whether attackers have placed a rogue implant on the device. To do this, use the curl command in combination with the call below (replace DEVICEIP with the IP address of the device you want to check, replace https:// with http:// if the WebUI is activated on HTTP):

“curl -k -X POST “https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1”

If the command above returns a hexadecimal string, the implant is most likely present and the device has been compromised. In addition, the command only produces a result if the attacker has restarted the web server on the device after the compromise.

Installation of the implant is also visible in the logging of the device. Therefore, check for the presence of logs of type “%WEBUI-6-INSTALL_OPERATION_INFO” to see if any suspicious activity can be found here.

Communication from suspicious IP addresses

According to Cisco, the attackers used three different IP addresses to carry out the attacks. Communication from these IP addresses is therefore an indication of possible abuse. This concerns the IP addresses 5.149.249[.]74, 154.53.56[.]231 and 154.53.63[.]93. The Pinewood SOC has added these indicators to its detection platform and also checked historical log files of its SOC customers for the presence of these indicators.

More information

• Cisco Security Advisory – Cisco IOS XE Software Web UI Privilege Escalation Vulnerability
• Cisco – Software Fix Availability for Cisco IOS XE Software Web UI Privilege Escalation Vulnerability – CVE-2023-20198
• Cisco Talos Intelligence Blog – Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerabilities
• CISA Alert – Cisco Releases Security Advisory for IOS XE Software Web UI
• NCSC-NL – NCSC-2023-0526: Kwetsbaarheid verholpen in Cisco IOS XE

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Beschrijving

Citrix heeft recent patches uitgebracht om diverse kwetsbaarheden in Citrix NetScaler te verhelpen. Nu blijkt dat kwaadwillenden één van deze kwetsbaarheden (CVE-2023-4966) al enige tijd uitbuiten om in te breken op sessies van gebruikers. Dit laatste vergroot de noodzaak om z.s.m. de door Citrix aangeleverde updates te installeren om misbruik hiervan te voorkomen.

Misbruik van de kwetsbaarheid stelt kwaadwillenden in staat om de sessies van ingelogde gebruikers over te nemen en daarbij eventuele beveiligingsmaatregelen – zoals de vereiste voor multifactor-authenticatie – te omzeilen. Nadat een aanvaller erin slaagt om een sessie van een gebruiker over te nemen, kan deze vervolgens aanvullende acties uitvoeren met de rechten van de betreffende gebruiker.

Kwetsbare versies

De onderstaande versies van NetScaler bevatten de kwetsbaarheid:

• NetScaler ADC en NetScaler Gateway 14.1, versies ouder dan 14.1-8.50
• NetScaler ADC en NetScaler Gateway 13.1 , versies ouder dan 13.1-49.15
• NetScaler ADC en NetScaler Gateway 13.0, versies ouder dan 13.0-92.19
• NetScaler ADC 13.1-FIPS, versies ouder dan 13.1-37.164
• NetScaler ADC 12.1-FIPS, versies ouder dan 12.1-55.300
• NetScaler ADC 12.1-NDcPP, versies ouder dan 12.1-55.300

Om de kwetsbaarheid uit te kunnen buiten moet het device geconfigureerd zijn als Gateway (VPN virtual server, ICA Proxy, CVPN of RDP Proxy) of als AAA virtual server.

Let op: NetScaler ADC 12.1 en NetScaler Gateway 12.1 bevatten de kwetsbaarheid ook maar zijn inmiddels End-of-Life/niet meer ondersteund. Voor deze versies van NetScaler is geen update beschikbaar gesteld en gebruikers ervan dienen daarom te upgraden naar een ondersteunde versie van NetScaler (13.0 of hoger).

Oplossingen en tijdelijke mitigaties

Citrix heeft nieuwe versies van de NetScaler-producten uitgebracht om deze kwetsbaarheid te verhelpen. Wij raden dan ook aan z.s.m. onderstaande updates te installeren:

• NetScaler en NetScaler Gateway 14.1: versie 14.1-8.50 of nieuwer
• NetScaler en NetScaler Gateway 13.1: versie 13.1-49.15 of nieuwer
• NetScaler ADC en NetScaler Gateway 13.0: versie 13.0-92.19 of nieuwer
• NetScaler ADC 13.1-FIPS: versie 13.1-37.164 of nieuwer
• NetScaler ADC 12.1-FIPS: versie 12.1-55.of nieuwer
• NetScaler ADC 12.1-NDcPP: versie 12.1-55.300 of nieuwer

Houd er rekening mee dat aanvallers toegang kunnen blijven houden tot sessies indien zij deze voor het installeren van de update hebben kunnen overnemen. Daarom is het van belang om op elk (voorheen kwetsbaar systeem) alle persistente sessies te termineren.

Detectie van mogelijk misbruik

Misbruik van de kwetsbaarheid laat helaas weinig tot geen sporen achter op het systeem. Sessies afkomstig vanaf afwijkende IP-adressen/locaties, kunnen een indicatie vormen dat sprake is van een overgenomen sessie.

Meer informatie

• https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967
• https://www.mandiant.com/resources/blog/remediation-netscaler-adc-gateway-cve-2023-4966

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center (SOC). Het Pinewood SOC is bereikbaar via +31 15 251 36 33 en via soc@pinewood.nl.

===== ENGLISH =====

Description

Citrix recently released patches for Citrix NetScaler to resolve multiple vulnerabilities in this product. As it turned out, one of these vulnerabilities (CVE-2023-4966) was already exploited by threat actors for quite some time to hijack user sessions. Due to this, we advise to install the updates released by Citrix urgently to prevent exploitation of this vulnerability on your devices.

Exploitation of the vulnerability enables threat actors to hijack existing sessions of users, thereby circumventing any security measure in place, such as the requirement for multi factor authentication. After the attacker successfully hijacked a session, he will then be able perform additional actions with the rights of the user.

Vulnerable versions

The following supported versions of NetScaler ADC and NetScaler Gateway are affected by the vulnerabilities:

• NetScaler ADC and NetScaler Gateway 14.1 before 14.1-8.50
• NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.15
• NetScaler ADC and NetScaler Gateway 13.0 before 13.0-92.19
• NetScaler ADC 13.1-FIPS before 13.1-37.164
• NetScaler ADC 12.1-FIPS before 12.1-55.300
• NetScaler ADC 12.1-NDcPP before 12.1-55.300

For the vulnerability to be exploited, the device must be configured as Gateway (VPN virtual server, ICA Proxy, CVPN or RDP Proxy) or as AAA virtual server.

Note: NetScaler ADC and NetScaler Gateway version 12.1 are now End-of-Life (EOL) but are vulnerable as well. Users of these versions of NetScaler are required to upgrade to a newer/supported version (13.0 or higher).

Solutions and workarounds

Citrix has released updates to resolve this vulnerability. We strongly advise to install these updates as soon as possible if you are running vulnerable devices:

• NetScaler ADC and NetScaler Gateway 14.1-8.50 and later releases
• NetScaler ADC and NetScaler Gateway  13.1-49.15 and later releases of 13.1
• NetScaler ADC and NetScaler Gateway 13.0-92.19 and later releases of 13.0
• NetScaler ADC 13.1-FIPS 13.1-37.164 and later releases of 13.1-FIPS
• NetScaler ADC 12.1-FIPS 12.1-55.300 and later releases of 12.1-FIPS
• NetScaler ADC 12.1-NDcPP 12.1-55.300 and later releases of 12.1-NDcPP

Be aware that attackers still have access to hijacked sessions if they successfully compromised these sessions before the systems were patched. It is therefore important to clear all persistent sessions on a device after the update is installed.

Detection of possible misuse

Unfortunately, exploitation of the vulnerability leaves little to no traces on the exploited system. Sessions originating from anomalous IP addresses or anomalous locations may indicate that a session was hijacked using this vulnerability.

More information

• https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967
• https://www.mandiant.com/resources/blog/remediation-netscaler-adc-gateway-cve-2023-4966\

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center (SOC). The Pinewood SOC can be contacted at +31 15 750 1331 and via soc@pinewood.nl.

Beschrijving

Er is een kritieke kwetsbaarheid ontdekt in de web UI-functie van Cisco IOS XE Software waardoor een aanvaller op afstand de volledige controle kan krijgen over een getroffen apparaat. De kwetsbaarheid staat toe om een account met toegangsniveau 15 (wat gelijkstaat aan volledige beheerdersrechten) aan te maken. De aanvaller kan dit account gebruiken om willekeurige commando’s op het apparaat uit te voeren.

Op het moment van schrijven wordt de kwetsbaarheid actief misbruikt.

Kwetsbare versies

Op dit moment zijn alle versies van Cisco IOS XE kwetsbaar als de WebUI is ingeschakeld via de commando’s “ip http server” of “ip http secure-server”.

Om te bepalen of de WebUI is ingeschakeld voor een systeem, kan op het systeem het commando “show running-config | include ip http server|secure|active” uitgevoerd worden om te controleren of een van beide opdrachten aanwezig is in de globale configuratie.

Als het “ip http server” commando aanwezig is en de configuratie ook “ip http active-session-modules none” bevat, is de kwetsbaarheid niet te misbruiken via HTTP.

Als het “ip http secure-server” aanwezig is en de configuratie ook “ip http secure-active-session-modules none” bevat, kan de kwetsbaarheid niet via HTTPS worden uitgebuit.

Oplossingen en tijdelijke mitigaties

Cisco werkt aan een softwarepatch om deze kwetsbaarheid te verhelpen en zal updates geven over de status van dit onderzoek.

Totdat er een patch beschikbaar is, raadt Cisco aan om de WebUI uit te schakelen met de commando’s “no ip http server” en “no ip http secure-server” in de globale configuratiemodus. Gebruik na het uitschakelen van de HTTP-serverfunctie het commando “copy running-configuration startup-configuration” om de configuratie op te slaan.

Detectie van mogelijk misbruik

Cisco adviseert om de systeemlogboeken te controleren op nieuwe onbekende beheeraccounts. Zie de Cisco Security Advisory met meer informatie over de specifieke indicatoren waarop gezocht moet worden.

Meer informatie

• Cisco Security Advisory – Cisco IOS XE Software Web UI Privilege Escalation Vulnerability
• CISA Alert – Cisco Releases Security Advisory for IOS XE Software Web UI
• Cisco Talos Intelligence Blog – Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerability
• NCSC Advisory – NCSC-2023-0526

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

A critical vulnerability has been discovered in the web UI feature of Cisco IOS XE Software that allows an unauthenticated remote attacker to take full control of an affected device. The vulnerability allows the creation of an account with access level 15 (which grants full admin privileges). The attacker can use this account to execute arbitrary commands on the device.

At the time of writing, the vulnerability is being actively exploited.

Vulnerable versions

Currently, all versions of Cisco IOS XE are vulnerable if the WebUI is enabled via the commands “ip http server” or “ip http secure-server“.

To determine whether the WebUI is enabled for a system, the “show running-config | include ip http server|secure|active” command can be run on the system to check whether either command is present in the global configuration.

If the “ip http server” command is present and the configuration also includes “ip http active-session-modules none“, the vulnerability cannot be exploited via HTTP.

If the “ip http secure-server” command is present and the configuration also contains “ip http secure-active-session-modules none“, the vulnerability cannot be exploited via HTTPS.

Solutions and workarounds

Cisco is working on a software patch to fix this vulnerability and will provide updates on the status of this investigation.

Until a patch is available, Cisco recommends disabling the WebUI with the commands “no ip http server” and “no ip http secure-server” in global configuration mode. After disabling the HTTP server feature, use the “copy running-configuration startup-configuration” command to save the configuration.

Detection of possible misuse

Cisco recommends checking system logs for new unknown accounts. See the Cisco Security Advisory with more information on the specific indicators to look for.

More information

• Cisco Security Advisory – Cisco IOS XE Software Web UI Privilege Escalation Vulnerability
• CISA Alert – Cisco Releases Security Advisory for IOS XE Software Web UI
• Cisco Talos Intelligence Blog – Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerability
• NCSC Advisory – NCSC-2023-0526

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Beschrijving

Er bevindt zich een kritieke kwetsbaarheid (CVE-2023-22515) in Atlassian Confluence Server en Atlassian Confluence Data Center waarvoor recent aanvalscode is gepubliceerd. De kwetsbaarheid maakt het mogelijk om een nieuw beheeraccount aan te maken en toegang te krijgen tot Confluence.

Op basis van de publiek beschikbare aanvalscode is de inschatting van Pinewood dat de kwetsbaarheid eenvoudig te gebruiken is. Hiermee is de kans groot dat kwetsbare en via het internet bereikbare installaties via deze kwetsbaarheid gecompromitteerd worden of al gecompromitteerd zijn.

Er zijn berichten dat een statelijke actor de kwetsbaarheid op beperkte schaal gebruikt heeft om toegang te krijgen tot vertrouwelijke informatie in Confluence, voordat de beveiligingsupdate beschikbaar gemaakt is.

Kwetsbare versies

De onderstaande versies van Confluence Server en Data Center bevatten de genoemde kwetsbaarheid:

• 8.0.0 t/m 8.0.4
• 8.1.0 t/m 8.1.4
• 8.2.0 t/m 8.2.3
• 8.3.0 t/m 8.3.2
• 8.4.0 t/m 8.4.2
• 8.5.0 t/m 8.5.1

Versies ouder dan 8.0.0 zijn niet kwetsbaar.

Versies ouder dan 7.15 zijn End-of-Life (EOL).

Cloud-installaties, herkenbaar aan het atlassian.net-domein, zijn niet (meer) kwetsbaar.

Oplossingen en tijdelijke mitigaties

Atlassian heeft onderstaande versies van Confluence Server en Data Center uitgebracht om de betreffende kwetsbaarheid te verhelpen:

• 8.3.3 (en nieuwer)
• 8.4.3 (en nieuwer)
• 8.5.2 (en nieuwer)

Voor zover bekend is de kwetsbaarheid (nog) niet opgelost is de laatste update binnen de 8.0, 8.1 en 8.2 versielijnen.

Detectie van mogelijk misbruik

Het installeren van een nieuwe versie zal een eventuele compromittatie niet ongedaan maken. Controleer daarom altijd op signalen van succesvol misbruik, zeker als de server bereikbaar is vanaf het internet.

Atlassian geeft aan dat onderstaande events een indicatie zijn van een eerdere succesvolle aanval:

• Onverwachte/onbekende gebruikers in de groep confluence-administrators.
• Onverwachte/onbekende nieuw aangemaakte gebruikers.
• Verzoeken voor /setup/*.action die te zien zijn in de access logs.
• De aanwezigheid van /setup/setupadministrator.action in een exception message in het logbestand atlassian-confluence-security.log in de home-directory van Confluence.

Meer informatie

• https://confluence.atlassian.com/security/cve-2023-22515-privilege-escalation-vulnerability-in-confluence-data-center-and-server-1295682276.html
• https://confluence.atlassian.com/kb/faq-for-cve-2023-22515-1295682188.html

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center (SOC). Het Pinewood SOC is bereikbaar via +31 15 251 36 33 en via soc@pinewood.nl.

===== ENGLISH =====

Description

There is a critical vulnerability (CVE-2023-22515) in Atlassian Confluence Server and Atlassian Confluence Data Center for which attack code was recently published. The vulnerability creates a new admin account and gives access to information in Confluence.

Based on the public Proof-of-Concept (PoC) code, Pinewood estimates that the vulnerability is easy to exploit. With this, there is a high probability that vulnerable and Internet-accessible installations will be compromised via this vulnerability or have already been compromised.

There are reports that a state actor used the vulnerability on a limited scale to access confidential information in Confluence before the security update was made available.

Vulnerable versions

The following versions of Confluence Server and Data Center contain the listed vulnerability:

• 8.0.0 up to and including 8.0.4
• 8.1.0 up to and including 8.1.4
• 8.2.0 up to and including 8.2.3
• 8.3.0 up to and including 8.3.2
• 8.4.0 up to and including 8.4.2
• 8.5.0 up to and including 8.5.1

Versions older than 8.0.0 are not vulnerable.

Versions older than 7.15 are End-of-Life (EOL).

Cloud installations, identified by the atlassian.net domain, are not vulnerable (anymore).

Solutions and workarounds

Atlassian has released the below versions of Confluence Server and Data Center to fix the affected vulnerability:

• 8.3.3 (and newer)
• 8.4.3 (and newer)
• 8.5.2 (and newer)

As far as we know, the vulnerability has not (yet) been fixed is the latest update within the 8.0, 8.1 and 8.2 version lines.

Detection of possible misuse

Installing a new version will not undo any compromise. Therefore, always check for signs of successful abuse, especially if the server is accessible from the internet.

Atlassian states that the events below are indicative of a previous successful attack:

• Unexpected/unknown users in the confluence-administrators group.
• Unexpected/unknown newly created users.
• Requests for /setup/*.action showing up in the access logs.
• The presence of /setup/setupadministrator.action in an exception message in the log file atlassian-confluence-security.log in the home directory of Confluence.

More information

• https://confluence.atlassian.com/security/cve-2023-22515-privilege-escalation-vulnerability-in-confluence-data-center-and-server-1295682276.html
• https://confluence.atlassian.com/kb/faq-for-cve-2023-22515-1295682188.html

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center (SOC). The Pinewood SOC can be contacted at +31 15 750 1331 and via soc@pinewood.nl.

Beschrijving

Vandaag heeft F5 Networks het Overview of F5 vulnerabilities (October 2023) uitgebracht [LINK].

De hooggekwalificeerde (CVSSv3 score ‘High’ of ‘Critical’) kwetsbaarheden zijn hieronder samengevat.

Tenzij anders vermeld, zijn onderstaande kwetsbaarheden van toepassing op TMOS 13.x, 14.x, 15.x, 16.x en 17.x. Potentieel zijn ook oudere TMOS-versies kwetsbaar (omdat deze versies al langere tijd niet meer ondersteund worden, doet F5 geen uitspraak over de kwetsbaarheid van deze versies).

CVSSv3 score ‘High’/’Critical’

• K000135689: BIG-IP Configuration utility vulnerability CVE-2023-41373 [LINK]

BIG-IP in appliance mode: CVSSv3 score: 9.9

BIG-IP in normale mode: CVSSv3 score: 8.8

Hiervoor moet eerst met succes ingelogd worden op de Configuration Utility (= de web-interface).

Vanuit de Configuration Utility kunnen dan willekeurige commando’s op de BIG-IP worden uitgevoerd. Administrators met ‘Advanced Shell’ toegang kunnen dat toch al. Dit heeft dus impact op gebruikers die zelf geen toegang hebben tot de ‘Advanced Shell’ CLI.

Niet kwetsbare versies: 14.1.5.6, 15.1.10.2, 16.1.4.1, 17.1.0.3.

Pinewood adviseert de management-toegang tot de BIG-IP te beperken tot vertrouwde netwerken en gebruikers. Wanneer gebruik gemaakt wordt van Appliance Mode [LINK], zal een upgrade gewenst zijn.

• K41072952: BIG-IP Appliance mode external monitor vulnerability CVE-2023-43746 [LINK]

BIG-IP in appliance mode: CVSSv3 score: 8.7

BIG-IP in normale mode: niet kwetsbaar

Deze kwetsbaarheid staat het toe om de ‘appliance mode’ beveiliging te omzeilen.

Niet kwetsbare versies: 15.1.9, 16.1.4, 17.1.0.

Pinewood adviseert de management-toegang tot de BIG-IP te beperken tot vertrouwde netwerken en gebruikers. Wanneer gebruik gemaakt wordt van Appliance Mode [LINK], zal een upgrade gewenst zijn.

• K29141800: Multi-blade VIPRION Configuration utility session cookie vulnerability CVE-2023-40537 [LINK]

CVSSv3 score: 8.1

Deze kwetsbaarheid betreft het niet correct uitloggen van een geauthentiseerde gebruiker in de Configuration Utility (= de web-interface) op multi-blade VIPRION-omgevingen.

Niet kwetsbare versies: 15.1.9, 16.1.4, 17.1.0.

Pinewood adviseert de management-toegang tot de BIG-IP/VIPRION te beperken tot vertrouwde netwerken en gebruikers.

• K000136185: BIG-IP Edge Client for macOS vulnerability CVE-2023-43611 [LINK]

CVSSv3 score: 7.8

Deze kwetsbaarheid betreft de BIG-IP Edge Client (VPN) installer voor macOS.

Niet kwetsbare versies: Edge Client 7.2.4.4

• K000133467: BIG-IP HTTP/2 vulnerability CVE-2023-40534 [LINK]

CVSSv3 score: 7.5

Deze kwetsbaarheid geldt wanneer aan een virtual server een HTTP/2 client profiel gekoppeld is en de MRF Router optie is ingeschakeld en een iRule gebruik maakt van het HTTP_REQUEST event (of een Local Traffic Policy aan de virtual server gekoppeld is). In dat specifieke geval kan TMM crashen (DoS).

Niet kwetsbare versies: 13.x, 14.x, 15.x, 16.1.4.1+Hotfix, 17.1.0.3+Hotfix.

De MRF Router optie is heel specifiek en niet standaard ingeschakeld, waardoor de kwetsbaarheid dan ook niet van toepassing is.

• K000134652: BIG-IP TCP profile vulnerability CVE-2023-40542 [LINK]

CVSSv3 score: 7.5

Deze kwetsbaarheid geldt wanneer aan een virtual server een TCP-profiel gekoppeld is waarin de ‘Verified Accept’ optie is ingeschakeld.

Niet kwetsbare versies: 15.1.9, 16.1.4, 17.1.0.

‘Verified Accept’ is een heel specifieke instelling, welke standaard is uitgeschakeld, waardoor de kwetsbaarheid dan ook niet van toepassing is.

• K000132420: BIG-IP IPsec vulnerability CVE-2023-41085 [LINK]

CVSSv3 score: 7.5

Deze kwetsbaarheid geldt wanneer IPsec is geconfigureerd op een virtual server. TMM kan dan crashen (DoS).

Niet kwetsbare versies: 15.1.9, 16.1.4, 17.1.0.

• K000135040: BIG-IP Edge Client for macOS vulnerability CVE-2023-5450 [LINK]

CVSSv3 score: 7.3

Deze kwetsbaarheid betreft de BIG-IP Edge Client (VPN) installer voor macOS.

Niet kwetsbare versies: Edge Client 7.2.4.5

• K26910459: BIG-IP iControl REST vulnerability CVE-2023-42768 [LINK]

CVSSv3 score: 7.2

Hiervoor moet eerst met succes ingelogd worden op de Configuration Utility (= de web-interface). Dit betreft een privilege escalation voor gebruikers die eerst de rol ‘Administrator’ hadden en welke daarna is verlaagd tot een niet-Administrator rol.

Niet kwetsbare versies: 15.1.9, 16.1.4, 17.1.0.

Pinewood adviseert de management-toegang tot de BIG-IP te beperken tot vertrouwde netwerken en gebruikers.

Oplossingen en tijdelijke mitigaties

Controleer eerst of een kwetsbaarheid van toepassing is. Sommige kwetsbaarheden zijn slechts in heel specifieke gevallen van toepassing. Bepaal daarna of een work-around beschikbaar is en pas deze toe. Indien gewenst, voer een upgrade uit naar een niet-kwetsbare versie.

Meer informatie

Zie de [LINK] referenties hierboven.

Managed Security Services (MSS) klanten

Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden.

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

Today, F5 Networks has released: Overview of F5 vulnerabilities (October 2023) [LINK].

Vulnerabilities with a CVSSv4 score ‘High’ or ‘Critical’ are summarised below.

Unless mentioned otherwise, the vulnerabilities affect all TMOS versions 13.x, 14.x, 15.x, 16.x, and 17.x. Older versions of TMOS are potentially vulnerable as well (F5 does not mention these old, long out of support, versions anymore).

CVSSv3 score ‘High’/’Critical’

• K000135689: BIG-IP Configuration utility vulnerability CVE-2023-41373 [LINK]

BIG-IP in appliance mode: CVSSv3 score: 9.9

BIG-IP in normal mode: CVSSv3 score: 8.8

This vulnerability requires an attacker to first successfully login into the Configuration Utility (= web interface).

Then, using the vulnerability, the attacker can execute commands on the BIG-IP system.

Note that Administrators with ‘Advanced Shell’ privileges are already able to do so. Hence, this vulnerability mainly affects customers with non-administrative users on the BIG-IP that do not have ‘Advanced Shell’ access already.

Non-vulnerable versions: 14.1.5.6, 15.1.10.2, 16.1.4.1, 17.1.0.3.

Pinewood recommends restricting access to the management network and to the BIG-IP itself to trusted users only. When using Appliance Mode [LINK], an upgrade is recommended.

• K41072952: BIG-IP Appliance mode external monitor vulnerability CVE-2023-43746 [LINK]

BIG-IP in appliance mode: CVSSv3 score: 8.7

BIG-IP in normal mode: not vulnerable

When running in Appliance mode, an authenticated user assigned the Administrator role may be able to bypass Appliance mode restrictions utilizing BIG-IP external monitor on a BIG-IP system.

Non-vulnerable versions: 15.1.9, 16.1.4, 17.1.0.

Pinewood recommends restricting access to the management network and to the BIG-IP itself to trusted users only. When using Appliance Mode [LINK], an upgrade is recommended.

• K29141800: Multi-blade VIPRION Configuration utility session cookie vulnerability CVE-2023-40537 [LINK]

CVSSv3 score: 8.1

An authenticated user’s session cookie may remain valid for a limited time after logging out from the BIG-IP Configuration utility (= web interface) on a multi-blade VIPRION platform.

Non-vulnerable versions: 15.1.9, 16.1.4, 17.1.0.

Pinewood recommends restricting access to the management network and to the BIG-IP itself to trusted users only.

• K000136185: BIG-IP Edge Client for macOS vulnerability CVE-2023-43611 [LINK]

CVSSv3 score: 7.8

he BIG-IP Edge Client Installer on macOS does not follow best practices for elevating privileges during the installation process.

Non-vulnerable versions: Edge Client 7.2.4.4

• K000133467: BIG-IP HTTP/2 vulnerability CVE-2023-40534 [LINK]

CVSSv3 score: 7.5

When a client-side HTTP/2 profile and the HTTP MRF Router option are enabled for a virtual server, and an iRule using the HTTP_REQUEST event or Local Traffic Policy are associated with the virtual server, undisclosed requests can cause the Traffic Management Microkernel (TMM) to terminate.

Non-vulnerable versions: 13.x, 14.x, 15.x, 16.1.4.1+Hotfix, 17.1.0.3+Hotfix.

The MRF Router option is uncommon to use and disabled by default (in which case the vulnerability is not applicable).

• K000134652: BIG-IP TCP profile vulnerability CVE-2023-40542 [LINK]

CVSSv3 score: 7.5

When TCP Verified Accept is enabled on a TCP profile that is configured on a virtual server, undisclosed requests can cause an increase in memory resource utilization.

Non-vulnerable versions: 15.1.9, 16.1.4, 17.1.0.

The ‘Verified Accept’ option is uncommon to use and disabled by default (in which case the vulnerability is not applicable).

• K000132420: BIG-IP IPsec vulnerability CVE-2023-41085 [LINK]

CVSSv3 score: 7.5

When IPsec is configured on a virtual server, undisclosed traffic can cause the Traffic Management Microkernel (TMM) to terminate.

Non-vulnerable versions: 15.1.9, 16.1.4, 17.1.0.

• K000135040: BIG-IP Edge Client for macOS vulnerability CVE-2023-5450 [LINK]

CVSSv3 score: 7.3

An insufficient verification of data vulnerability exists in BIG-IP Edge Client Installer on macOS that may allow an attacker elevation of privileges during the installation process.

Non-vulnerable versions: Edge Client 7.2.4.5

• K26910459: BIG-IP iControl REST vulnerability CVE-2023-42768 [LINK]

CVSSv3 score: 7.2

When a non-admin user has been assigned an administrator role via an iControl REST PUT request and later the user’s role is reverted back to a non-admin role via the Configuration utility, tmsh, or iControl REST, the BIG-IP non-admin user can still access the iControl REST admin resource.

Non-vulnerable versions: 15.1.9, 16.1.4, 17.1.0.

Pinewood recommends restricting access to the management network and to the BIG-IP itself to trusted users only.

Solutions and workarounds

First determine if a vulnerability is applicable to your environment and configuration. Most vulnerabilities only apply to specific configurations. Next, consider if a work-around can be applied. If required, upgrade the system to a version that is not vulnerable.

More information

Please refer to the [LINK] references above.

Managed Security Services (MSS) customers

If you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from these vulnerabilities.

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Beschrijving

Dit bulletin heeft betrekking op de BIG-IP- en VIPRION-producten van F5 Networks.

Op 31 december 2023 bereikt de TMOS 14.1.x versie de ‘End-of-Technical-Support’ (EoTS) en ‘End-of-Software-Development’ (EoSD) fase. Dit geldt voor alle BIG-IP hardware appliances, de BIG-IP Virtual Editions (BIG-IP VE) en voor het VIPRION-platform.

Dit betekent dat:

• EoTS: F5 no longer provides technical support services, such as troubleshooting or configuration advice.
• EoSD: F5 no longer develops maintenance releases for a software product or software product version. F5 does not release any software product fixes, including fixes for bugs or CVEs, using maintenance or EHF releases.

Ondersteuning vanuit Pinewood voor EoTS- en EoSD-producten vindt plaats op basis van best effort voor klanten met een support contract.

Klanten met een Managed Security Services contract zijn inmiddels benaderd door Pinewood.

Advies

De meest recente versie van TMOS is 17.1. Deze versie is relatief nieuw en Pinewood is nog terughoudend met het inzetten van deze versie voor productie-omgevingen.

Deze versie heeft support vanuit F5 tot 31 maart 2027.

Pinewood adviseert te upgraden naar de meest recente versie van TMOS 16.1 (momenteel 16.1.4.1).

Deze versie heeft support vanuit F5 tot 31 juli 2025.

Voor BIG-IP VE geldt dat deze licenties geldig zijn voor een bepaalde reeks van TMOS-versies. Met name de wat oudere ‘V13’-licenties kunnen ingezet worden tot maximaal TMOS 15.1. In dat geval adviseert Pinewood te upgraden naar de meest recente versie van TMOS 15.1 (momenteel 15.1.10.2).

Deze versie heeft support vanuit F5 tot 31 december 2014.

In alle gevallen geldt dat een geldig F5 support contact nodig is.

Meer informatie

• K5903: BIG-IP software support policy (https://my.f5.com/manage/s/article/K5903)
• K8986: F5 product support policies (https://my.f5.com/manage/s/article/K8986)

Managed Security Services (MSS) klanten

Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden.

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

This bulletin concerns the F5 Network products: BIG-IP hardware appliances, BIG-IP Virtual Editions (VE), and the VIPRION chassis hardware.

TMOS 14.1.x will reach both ‘End-of-Technical-Support’ (EoTS) and ‘End-of-Software-Development’ (EoSD) on December 31, 2023. This applies to all BIG-IP hardware appliances, the BIG-IP Virtual Editions (BIG-IP VE) and the VIPRION chassis-based blades.

This implies that:

• EoTS: F5 no longer provides technical support services, such as troubleshooting or configuration advice.
• EoSD: F5 no longer develops maintenance releases for a software product or software product version. F5 does not release any software product fixes, including fixes for bugs or CVEs, using maintenance or EHF releases.

Support by Pinewood for customers with a valid support contact, regarding EoTS and EoSD products, can only be supplied on a best effort basis.

Pinewood has already informed customers with a Managed Security Services contract.

Recommendations

TMOS 17.1 is the most recent version of TMOS. However, this version is relatively new. Pinewood is still hesitant to use this version for production environments.

Support for TMOS 17.1 ends on March 31, 2027.

Pinewood recommends upgrading to the most recent version of TMOS 16.1 (currently: 16.1.4.1).

Support for TMOS 16.1 ends on July 31, 2025.

BIG-IP VE licenses are only valid for a fixed range of TMOS versions. In particular the older ‘V13’ VE licenses support TMOS 15.1 as the highest version. In this case Pinewood recommends upgrading to the most recent version of TMOS 15.1 (currently: 15.1.10.2).

Support for TMOS 15.1 ends on December 31, 2024.

A valid F5 support contract is required to obtain support from F5 Networks.

More information

• K5903: BIG-IP software support policy (https://my.f5.com/manage/s/article/K5903)
• K8986: F5 product support policies (https://my.f5.com/manage/s/article/K8986)

Managed Security Services (MSS) customers

If you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from these vulnerabilities.

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Beschrijving

De afgelopen tijd ziet het Pinewood Security Operations Center (SOC) dat aanvallers er regelmatig in slagen om accounts binnen de Microsoft cloudomgevingen van organisaties over te nemen. De Microsoft cloud is populair, en het is dan ook geen verrassing dat aanvallers zeer geïnteresseerd zijn in de accounts die zich hierin bevinden (geconfigureerd in Microsoft Entra ID, voorheen Azure AD). Het succesvol overnemen van een account kan grote consequenties hebben. Immers, het verkrijgen van toegang tot een dergelijk account stelt een aanvaller in staat om bijvoorbeeld malafide e-mails uit naam van de eigenaar te versturen (Exchange Online) en om vertrouwelijke bestanden in te zien (SharePoint/OneDrive). Verschillende vragen komen dan ook naar boven: hoe kan dit gebeuren, hoe kun je het detecteren, wat gebeurt er na een succesvolle aanval, wat moet je doen als het misgaat en wat kun je doen om het te voorkomen?

Hoe kan dit gebeuren?

Bij vrijwel alle incidenten die het Pinewood SOC de afgelopen tijd heeft gezien, startte een succesvolle inbraak op een account met een zogenoemde Actor-in-the-Middle aanval, kortweg AitM-aanval. Een AitM-aanval is vergelijkbaar met een traditionele phishingaanval, met het verschil dat de aanvaller de gegevens die het slachtoffer invoert op een phishingwebsite niet alleen verzamelt, maar óók direct ter verificatie doorstuurt naar Microsoft. Daardoor krijgt het slachtoffer bijvoorbeeld ook gewoon een verzoek te zien in zijn/haar Authenticator app om de inlogactiviteit te bevestigen. Zodra het slachtoffer dit heeft gedaan, beschikt de aanvaller niet alleen over de gebruikersnaam en wachtwoord van het slachtoffer, maar ook over een session token én een refresh token. Met deze tokens kan de aanvaller zich toegang blijven verschaffen tot het account van het slachtoffer (standaard gedurende 90 dagen), zonder dat de aanvaller daarvoor opnieuw hoeft in te loggen.

Hoe kun je het detecteren?

Het detecteren van malafide inlogpogingen op een account kan vrij complex zijn. Gelukkig levert Microsoft binnen Entra ID Protection diverse alarmen die helpen om een mogelijke inbraak op een account te detecteren. Het belangrijkste alarm hierbij is Atypical travel: volgens de beschrijving van Microsoft gaat dit alarm af wanneer een gebruiker vanaf twee geografisch verschillende locaties inlogt, waarbij minstens één van deze locaties atypisch is voor de gebruiker. Stel bijvoorbeeld dat een gebruiker normaal gesproken altijd inlogt vanaf zijn thuisnetwerk en vanaf het netwerk van zijn werkgever, terwijl de gebruiker nu plotseling inlogt vanaf een adres in Nigeria. Dit is typisch een situatie die een atypical travel alarm triggert en wat een indicatie vormt dat een aanvaller mogelijk misbruik maakt van het account van de gebruiker.

Natuurlijk bestaan er meer manieren om inbraak op een account te detecteren (en meer manieren om op een account in te breken). Het Pinewood SOC heeft de afgelopen maanden dan ook diverse aanvullende detectieregels geïmplementeerd die moeten helpen om malafide gebruik van een account in een zo’n vroeg mogelijk stadium vast te stellen.

Wat gebeurt er na een succesvolle aanval?

Nadat een aanvaller succesvol toegang weet te krijgen tot het account van een slachtoffer, kunnen er allerlei verschillende activiteiten volgen. Veel is hierbij afhankelijk van de intenties van de aanvaller. Om een idee te geven, zijn hier wat mogelijke scenario’s:

• De aanvaller registreert een nieuw verificatiemechanisme zodat hij in staat is om op het account in te blijven loggen, zelfs als de tokens die hij heeft bemachtigd niet langer meer geldig zijn.
• De aanvaller verstuurt uit naam van het slachtoffer phishing e-mails naar een lijst aan bekende contacten van het slachtoffer. Hiermee probeert hij ook de accounts van andere slachtoffers over te nemen. De kans dat nieuwe slachtoffers geraakt worden door een dergelijke phishing e-mail is groot, aangezien ze bekend zijn met de verzender en veelal geen argwaan zullen hebben bij het aanklikken van links die zich in de e-mail bevinden.
• De aanvaller monitort de e-mails die het slachtoffer uitwisselt, in de hoop dat er een conversatie gaat plaatsvinden over een grote betaling. Op dat moment breekt de aanvaller in op de conversatie en zal hij bijvoorbeeld een bericht sturen om aan te geven dat het rekeningnummer van de organisatie is veranderd. Aangezien de andere partij “gewoon” een antwoord ziet op een e-mail binnen een bestaande e-mailconversatie, is de kans groot dat zij de wijziging in het rekeningnummer klakkeloos overneemt en een groot geldbedrag op de rekening van de aanvaller terechtkomt.

Wat moet je doen als het misgaat?

Op het moment dat een account in handen van een aanvaller valt, is het allereerst van groot belang om dit zo snel mogelijk vast te stellen. Het spreekt voor zich dat de schade het kleinst is als de aanvaller al snel weer de toegang tot een account kwijtraakt. Na het vaststellen van misbruik van een account raden wij aan om standaard een aantal stappen uit te voeren:

1. Schakel het account in eerste instantie uit (disable account) zodat de aanvaller geen gebruik meer kan maken van het account. Verklaar tevens direct alle refresh tokens die aan het account hangen ongeldig zodat de aanvaller ook daar geen gebruik meer van kan maken.
2. Ga ervanuit dat de aanvaller volledige controle heeft over de authenticatie-informatie van de gebruiker. Reset daarom het wachtwoord én de verificatiemethoden (MFA) van de gebruiker. Controleer of alle voorgaande MFA-methoden van de gebruiker zijn verwijderd.
3. Het is bekend dat aanvallers na een succesvolle inbraak op een account ook regelmatig mail forwarding rules aanmaken zodat zij toegang blijven houden tot de e-mails van een gebruiker, zelfs als zij de controle over het account zelf zijn kwijtgeraakt. Controleer daarom altijd alle mailbox rules en mailbox forwarding rules die op het account zijn geconfigureerd.
4. In sommige gevallen slaagt een aanvaller er zelfs in om een eigen apparaat (device) te registreren op naam van de gebruiker welke vervolgens vertrouwd wordt. Controleer daarom ook altijd of de lijst aan “enrolled devices” valide is.
5. Controleer tot slot alle activiteiten die vanuit het account zijn uitgevoerd vanaf het moment dat dit account in handen van de aanvaller viel. Maak hiervoor gebruik van de uitgebreide audit-functionaliteiten die Microsoft biedt.

Hoe kun je het voorkomen?

Het is cliché, maar voorkomen blijft altijd beter dan genezen. Er zijn verschillende manieren waarop een organisatie succesvolle aanvallen kan voorkomen. Wij raden dan ook aan nog eens kritisch naar de inrichting van de Microsoft-tenant van de organisatie te kijken en daar waar mogelijk verbeteringen door te voeren. Ga er daarnaast vanuit dat een aanvaller er altijd in kan blijven slagen om een account over te nemen en dat een goede detectie van malafide activiteiten op accounts daarom een essentieel vangnet blijft.

Multifactor-authenticatie

Het spreekt tegenwoordig voor zich dat multifactor-authenticatie standaard moet zijn. Het beschermen van een account op basis van alleen een gebruikersnaam en wachtwoord is uitermate onveilig en zal men alleen op basis van hele stringente restricties mogen toestaan (bijvoorbeeld gebruik van een serviceaccount vanuit één IP-adres). Daarnaast biedt Microsoft tegenwoordig de mogelijkheid tot “MFA number matching”, waarbij de gebruiker een code moet invoeren bij het aanroepen van de multifactor-authenticatie. Uiteraard raden wij het gebruik hiervan sterk aan (sinds mei 2023 is dit ook de standaardoplossing vanuit Microsoft). Verder heeft het gebruik van phishing-resistente MFA-oplossingen de voorkeur boven de oplossingen die wél gevoelig zijn voor phishing, zeker voor het beveiligen van administratieve accounts. Onder phishing-resistente MFA-oplossingen vallen FIDO2 security keys, Windows Hello for Business en certificaatauthenticatie.

Conditional access

Via conditional access biedt Microsoft de mogelijkheid om aanvullende restricties op te leggen aan inlogactiviteiten op de Microsoft-tenant van de organisatie. Specifiek voor het voorkomen van een aanval zoals beschreven in dit artikel, raden wij het volgende aan:

• Verklein de standaard “sign-in frequency” van 90 dagen naar een kortere periode. Deze waarde beschrijft hoe lang een gebruiker maximaal gebruik mag maken van refresh tokens zonder zich opnieuw aan te hoeven melden.
• Vereis dat gebruikers zich alleen kunnen aanmelden vanuit managed en compliant devices. Hoewel dit voor veel organisaties wellicht lastig in te regelen valt, zorgt dit wel voor een veel kleinere kans op misbruik.
• Maak gebruik van de “location”-conditie waarmee het mogelijk is om eisen op te leggen m.b.t. de locatie van waaruit de gebruiker inlogt. Zo is het bijvoorbeeld mogelijk om de toegang te blokkeren vanuit landen waarin de organisatie niet actief is of om alleen maar toegang te verlenen vanuit de netwerken van de organisatie zelf.
• Maak gebruik van Entra ID Protection Risk policies. Microsoft maakt daarbij onderscheid tussen user risk policies en sign-in risk policies. De eerste policy richt zich m.n. op signalen die erop wijzen dat het account van de gebruiker is gecompromitteerd (op basis van activiteiten van de gebruiker over langere tijd), terwijl de tweede policy zich vooral richt op verdachte eigenschappen van de specifieke inlogpoging.  Voor beide policies geldt dat geautomatiseerde actie mogelijk is voor laag, gemiddeld en hoog risico. Microsoft adviseert om bij de user risk policy bij een hoog risico een wachtwoordwijziging te vereisen (incl. de vereiste om opnieuw aan te melden met MFA) en bij de sign-in risk policy een extra MFA-verificatie te vereisen bij een gemiddeld of hoog risico.

Tot slot

Aanvallers zullen continu op zoek blijven gaan naar nieuwe manieren om gebruikersaccounts over te nemen. Veel beveiligingsmaatregelen die Microsoft en klantorganisaties implementeren, leiden uiteindelijk vaak weer tot nieuwe aanvalsmethodieken waarmee de aanvallers pogen deze maatregelen te omzeilen. Het is dan ook belangrijk om de beveiliging van een omgeving continu up-to-date te houden en gebruik te blijven maken van de laatste mogelijkheden en inzichten om succesvolle aanvallen zoveel mogelijk te voorkomen.

Meer informatie

• https://learn.microsoft.com/en-us/azure/active-directory/conditional-access/concept-conditional-access-session
• https://learn.microsoft.com/en-us/azure/active-directory/conditional-access/location-condition
• https://learn.microsoft.com/en-us/azure/active-directory/identity-protection/howto-identity-protection-configure-risk-policies

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center (SOC). Het Pinewood SOC is bereikbaar via +31 15 251 36 33 en via soc@pinewood.nl.

===== ENGLISH =====

Description

Recently, the Pinewood Security Operations Center (SOC) has seen attackers regularly succeed in taking over accounts within organizations’ Microsoft cloud environments. The Microsoft cloud is popular, so it is no surprise that attackers are very interested in the accounts contained within it (configured in Microsoft Entra ID, formerly Azure AD). Successfully taking over an account can have major consequences. After all, gaining access to such an account allows an attacker to, for example, send malicious emails in the owner’s name (Exchange Online) and access confidential files (SharePoint/OneDrive). Several questions therefore arise: how can this happen, how can you detect it, what happens after a successful attack, what should you do if an account gets compromised and what can you do to prevent it?

How can this happen?

In almost all of the incidents the Pinewood SOC has seen recently, a successful break-in to an account started with what is known as an Actor-in-the-Middle attack, or AitM attack for short. An AitM attack is similar to a traditional phishing attack, except that the attacker not only collects the data the victim enters on a phishing website, but also sends it directly to Microsoft for verification. As a result, the victim also will receive e.g. a prompt in his/her Authenticator app to confirm the login activity. Once the victim has done this, the attacker not only possesses the victim’s username and password, but also a session token and a refresh token. With these tokens, the attacker can continue to gain access to the victim’s account (by default for 90 days), without the need to log in again.

How can you detect it?

Detecting rogue login attempts to an account can be quite complex. Fortunately, Microsoft provides several alarms within Entra ID Protection that can help detect a potential intrusion into an account. The most important alarm here is Atypical travel: according to Microsoft’s description, this alarm triggers when a user logs in from two geographically different locations, with at least one of these locations being atypical for the user. For example, suppose a user normally always logs in from his home network and from his employer’s network, and now the user suddenly logs in from an address in Nigeria. This is typically a situation that triggers an atypical travel alarm and which is an indication that an attacker may be abusing the user’s account.

Of course, there are more ways to detect account intrusions (and more ways to break into an account). Accordingly, the Pinewood SOC has implemented several additional detection rules in recent months to help identify malicious use of an account at the earliest possible stage.

What happens after a successful attack?

After an attacker successfully manages to gain access to a victim’s account, a variety of different activities may follow. Much here depends on the attacker’s intentions. To give you an idea, here are some possible scenarios:

• The attacker registers a new authentication mechanism so that he is able to continue logging into the account even if the tokens he obtained are no longer valid.
• The attacker sends phishing emails in the victim’s name to a list of the victim’s known contacts. In doing so, he also tries to take over the accounts of other victims. The chances of new victims being hit by such a phishing email are high, since they are familiar with the sender and will usually not be suspicious when clicking on links located in the email.
• The attacker monitors the emails exchanged by the victim, hoping for a conversation about a large payment. At that point, the attacker breaks into the conversation and will, for example, send a message indicating that the organization’s bank account number has changed. Since the other party “just sees” a response to an email within an existing email conversation, there is a good chance that they will blindly adopt the change in the account number and a large amount of money will end up in the attacker’s account.

What should you do if an account gets compromised?

First of all, the moment an account falls into the hands of an attacker, it is very important to determine this as soon as possible. Obviously, the damage is the least if the attacker quickly loses access to an account again. After determining that an account has been compromised, we recommend a number of standard steps:

1. First disable the account so that the attacker can no longer use it. Also immediately invalidate all refresh tokens attached to the account so that the attacker can no longer use them either.
2. Assume that the attacker has full control over the user’s authentication information. Therefore, reset both the user’s password and authentication methods (MFA). Verify that all the user’s previous MFA methods have been removed.
3. Attackers are also known to regularly create mail forwarding rules after a successful intrusion into an account so that they continue to have access to a user’s emails even if they have lost control of the account itself. Therefore, always check all mailbox rules and mailbox forwarding rules configured on the account.
4. In some cases an attacker even manages to register his own device in the name of the user which is then trusted. Therefore, always check if the list of “enrolled devices” is valid.
5. Finally, verify all activities performed from the account from the time this account fell into the hands of the attacker. To do this, take advantage of the extensive auditing functionality provided by Microsoft.

How can you prevent it?

It’s cliché, but prevention is always better than cure. There are several ways in which an organization can prevent successful attacks. We therefore recommend taking another critical look at the organization’s Microsoft tenant setup and making improvements where possible. In addition, assume that an attacker can always succeed in taking over an account and that proper detection of malicious activity on accounts therefore remains an essential safety net.

Multifactor authentication

It goes without saying these days that multifactor authentication should be standard. Protecting an account based only on a username and password is extremely insecure and should only be allowed on the basis of very stringent restrictions (for example, use of a service account from a single IP address). In addition, Microsoft now offers the option of “MFA number matching,” which requires the user to enter a code when invoking multifactor authentication. Of course, we strongly recommend using this (since May 2023, this is also the default solution from Microsoft). Furthermore, the use of phishing-resistant MFA solutions is preferable to those that are indeed susceptible to phishing, especially for securing administrative accounts. Phishing-resistant MFA solutions include FIDO2 security keys, Windows Hello for Business and certificate authentication.

Conditional access

Through conditional access, Microsoft provides the ability to impose additional restrictions on login activities on the organization’s Microsoft tenant. Specifically for preventing an attack as described in this article, we recommend the following:

• Reduce the default “sign-in frequency” of 90 days to a shorter time period. This value describes the maximum time a user can use refresh tokens without having to sign in again.
• Require that users can only log in from managed and compliant devices. While this may be difficult for many organizations to set up, it does ensure a much lower chance of abuse.
• Make use of the “location” condition that makes it possible to impose requirements on the location from which the user logs in. For example, it is possible to block access from countries in which the organization does not operate or to allow access only from the organization’s own networks.
• Make use of Entra ID Protection Risk policies. Microsoft distinguishes between user risk policies and sign-in risk policies. The first policy focuses on signals that the user’s account has been compromised (based on user activity over time), while the second policy focuses on suspicious characteristics of the specific login attempt. For both policies, automated action is possible for low, medium and high risk. Microsoft recommends that the user risk policy requires a password change at high risk (including the requirement to re-login with MFA) and that the sign-in risk policy requires additional MFA authentication at medium or high risk.

In conclusion

Attackers will continuously continue to look for new ways to take over user accounts. Many security measures implemented by Microsoft and customer organizations often eventually lead to new attack methodologies with which attackers attempt to circumvent these measures. Therefore, it is important to continuously keep an environment’s security up to date and continue to use the latest capabilities and insights to prevent successful attacks as much as possible.

More information

• https://learn.microsoft.com/en-us/azure/active-directory/conditional-access/concept-conditional-access-session
• https://learn.microsoft.com/en-us/azure/active-directory/conditional-access/location-condition
• https://learn.microsoft.com/en-us/azure/active-directory/identity-protection/howto-identity-protection-configure-risk-policies

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center (SOC). The Pinewood SOC can be contacted at +31 15 251 36 33 and via soc@pinewood.nl.