Maandelijks Dreigingsrapport SOC

Cyber Alerts Maart

Lees verder
Pinewood Security Bulletin – Critical Buffer Overflow in Multiple Fortinet Products Exploited in the Wild

Pinewood Security Bulletin – Critical Buffer Overflow in Multiple Fortinet Products Exploited in the Wild

For English, see below.

Beschrijving

Er bevindt zich een stack-based buffer overflow in de webinterface van meerdere Fortinet-producten (CVE-2025-32756). De kwetsbaarheid is aanwezig in de HTTP-component van deze producten. Een niet-geauthenticeerde, externe aanvaller kan via speciaal geprepareerde HTTP-verzoeken willekeurige code uitvoeren op het systeem. Dit kan leiden tot volledige systeemcompromittering. De kwetsbaarheid is aanwezig in de volgende producten:

  • FortiVoice Enterprise
  • FortiMail
  • FortiNDR
  • FortiRecorder
  • FortiCamera

De kwetsbaarheid wordt actief uitgebuit in het wild, met name in FortiVoice-installaties. De aanval vereist geen authenticatie, wat de uitbuiting relatief eenvoudig maakt. De aanvallen omvatten onder andere het inschakelen van debugging, het verzamelen van inloggegevens en het wijzigen van systeeminstellingen.

Kwetsbare versies

De kwetsbaarheden bevinden zich in onderstaande versies van Fortinet-producten:

  • FortiVoice: 6.4.0 t/m 6.4.10, 7.0.0 t/m 7.0.6, 7.2.0
  • FortiMail: 7.0.0 t/m 7.0.8, 7.2.0 t/m 7.2.7, 7.4.0 t/m 7.4.4, 7.6.0 t/m 7.6.2
  • FortiNDR: 1.1 t/m 1.5 (alle versies), 7.0.0 t/m 7.0.6, 7.1 (alle versies), 7.2.0 t/m 7.2.4, 7.4.0 t/m 7.4.7, 7.6.0
  • FortiRecorder: 6.4.0 t/m 6.4.5, 7.0.0 t/m 7.0.5, 7.2.0 t/m 7.2.3
  • FortiCamera: 1.1, 2.0 (alle versies), 2.1.0 t/m 2.1.3

 

Oplossingen en tijdelijke mitigaties

Fortinet heeft de kwetsbaarheden verholpen via onderstaande patches:

  • FortiVoice: 6.4.11, 7.0.7, 7.2.1
  • FortiMail: 7.0.9, 7.2.8, 7.4.5, 7.6.3
  • FortiNDR: 7.0.7, 7.2.5, 7.4.8, 7.6.1
  • FortiRecorder: 6.4.6, 7.0.6, 7.2.4
  • FortiCamera: 2.1.4

Fortinet adviseert organisaties die de patch nog niet kunnen installeren om de toegang tot de beheer webinterface van de getroffen tijdelijk uit te schakelen.

Detectie van mogelijk misbruik

Via een aantal controles is het mogelijk te achterhalen of misbruik van deze kwetsbaarheid heeft plaatsgevonden.

Verkeer vanaf verdachte IP-adressen

Aanvallen zijn gezien vanaf onderstaande IP-adressen. Succesvolle verbindingen vanaf deze IP-adressen richting Fortinet-webinterfaces zijn dan ook verdacht.

  • 198.105.127[.]124 (AS149440 Evoxt Enterprise, GB)
  • 43.228.217[.]173 (AS133905 Layerstack Limited, TW)
  • 43.228.217[.]82 (AS133905 Layerstack Limited, TW)
  • 156.236.76[.]90 (AS149440 Evoxt Enterprise, US)
  • 218.187.69[.]244 (AS7482 Asia Pacific On-Line Service Inc., TW)
  • 218.187.69[.]59 (AS7482 Asia Pacific On-Line Service Inc., TW)

Configuratiewijziging

De debuggingoptie is standaard uitgeschakeld op systemen, maar in de bekende aanvallen schakelen de aanvallers deze optie juist in. Als in de output van het commando ‘diag debug application fcgi’ de regel ‘general to-file ENABLED‘ voorkomt, betekent dit dat debugging is ingeschakeld. Indien de organisatie dit in het verleden niet zelf heeft ingeschakeld, duidt dit op mogelijk misbruik van het systeem.

Nieuwe en gewijzigde bestanden

Bij de bekende aanvallen plaatsen de aanvallers nieuwe bestanden op het systeem en voeren ze wijzigingen door in bestaande bestanden. Het gaat specifiek om onderstaande bestanden:

  • /bin/wpad_ac_helper: malware met MD5-hash 4410352e110f82eabc0bf160bec41d21
  • /bin/busybox: malafide indien de MD5-hash van het bestand gelijk is aan ebce43017d2cb316ea45e08374de7315 of 489821c38f429a21e1ea821f8460e590
  • /data/etc/crontab: nieuwe regel toegevoegd om gevoelige informatie te verkrijgen vanuit fcgi.debug
  • /var/spool/cron/crontabs/root: nieuwe regel toegevoegd om een backup te maken van fcgi.debug
  • /var/spool/.sync: nieuw bestand waarin credentials worden verzameld
  • /etc/pam.d/sshd: nieuwe regel(s) toegevoegd om gebruik te maken van het malafide bestand libfmlogin.so
  • /lib/libfmlogin.so: nieuw bestand (met MD5-hash 364929c45703a84347064e2d5de45bcd), betreft een malafide bibliotheek waarmee gebruikersnamen en wachtwoorden vanuit SSH-logins worden vastgelegd
  • /tmp/.sshdpm: nieuw bestand met daarin de verzamelde SSH-credentials
  • /bin/fmtest: nieuw bestand (met MD5-hash 2c8834a52faee8d87cff7cd09c4fb946) waarmee het netwerk kan worden gescand
  • /etc/httpd.conf: nieuwe regel toegevoegd om de socks5 module te activeren

Meer informatie

Managed Security Services (MSS) klanten

Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden.

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

 

===== ENGLISH =====

Description

A stack-based buffer overflow exists in the web interface of multiple Fortinet products (CVE-2025-32756). The vulnerability is present in the HTTP component of these products. An unauthenticated, remote attacker can execute arbitrary code on the system via specially crafted HTTP requests. This can lead to full system compromise. The vulnerability affects the following products:

  • FortiVoice Enterprise
  • FortiMail
  • FortiNDR
  • FortiRecorder
  • FortiCamera

The vulnerability is actively being exploited in the wild, particularly in FortiVoice installations. The attack does not require authentication, making exploitation relatively easy. The attacks include enabling debugging, collecting login credentials, and modifying system settings.

Vulnerable versions

The vulnerabilities are present in the following versions of Fortinet products:

  • FortiVoice: 6.4.0 through 6.4.10, 7.0.0 through 7.0.6, 7.2.0
  • FortiMail: 7.0.0 through 7.0.8, 7.2.0 through 7.2.7, 7.4.0 through 7.4.4, 7.6.0 through 7.6.2
  • FortiNDR: 1.1 through 1.5 (all versions), 7.0.0 through 7.0.6, 7.1 (all versions), 7.2.0 through 7.2.4, 7.4.0 through 7.4.7, 7.6.0
  • FortiRecorder: 6.4.0 through 6.4.5, 7.0.0 through 7.0.5, 7.2.0 through 7.2.3
  • FortiCamera: 1.1, 2.0 (all versions), 2.1.0 through 2.1.3

Solutions and workarounds

Fortinet has addressed the vulnerabilities through the following patches:

  • FortiVoice: 6.4.11, 7.0.7, 7.2.1
  • FortiMail: 7.0.9, 7.2.8, 7.4.5, 7.6.3
  • FortiNDR: 7.0.7, 7.2.5, 7.4.8, 7.6.1
  • FortiRecorder: 6.4.6, 7.0.6, 7.2.4
  • FortiCamera: 2.1.4

Fortinet advises organizations that cannot yet install the patch to temporarily disable the HTTP/HTTPS administrative interface.

Detection of possible misuse

Several checks can help determine whether this vulnerability has been exploited.

Traffic from Suspicious IP Addresses

Attacks have been observed from the following IP addresses. Successful connections from these IPs to Fortinet web interfaces are considered suspicious:

  • 198.105.127[.]124 (AS149440 Evoxt Enterprise, GB)
  • 43.228.217[.]173 (AS133905 Layerstack Limited, TW)
  • 43.228.217[.]82 (AS133905 Layerstack Limited, TW)
  • 156.236.76[.]90 (AS149440 Evoxt Enterprise, US)
  • 218.187.69[.]244 (AS7482 Asia Pacific On-Line Service Inc., TW)
  • 218.187.69[.]59 (AS7482 Asia Pacific On-Line Service Inc., TW)

Configuration Changes

The debugging option is disabled by default, but in known attacks, attackers enable this option. If the output of the command ‘diag debug application fcgi’ contains the line ‘general to-file ENABLED’, it indicates that debugging is enabled. If the organization did not enable this in the past, it may indicate system compromise.

New and Modified Files

In known attacks, attackers place new files on the system and modify existing ones. Specifically:

  • /bin/wpad_ac_helper: malware with MD5 hash 4410352e110f82eabc0bf160bec41d21
  • /bin/busybox: malicious if MD5 hash is ebce43017d2cb316ea45e08374de7315 or 489821c38f429a21e1ea821f8460e590
  • /data/etc/crontab: new line added to extract sensitive info from fcgi.debug
  • /var/spool/cron/crontabs/root: new line added to back up fcgi.debug
  • /var/spool/.sync: new file collecting credentials
  • /etc/pam.d/sshd: new line(s) added to use malicious file libfmlogin.so
  • /lib/libfmlogin.so: new file (MD5 hash 364929c45703a84347064e2d5de45bcd), a malicious library capturing SSH login credentials
  • /tmp/.sshdpm: new file containing collected SSH credentials
  • /bin/fmtest: new file (MD5 hash 2c8834a52faee8d87cff7cd09c4fb946) used for network scanning
  • /etc/httpd.conf: new line added to activate the socks5 module

More information

Managed Security Services (MSS) customers

If you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from these vulnerabilities.

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Ivanti EPMM Flaws Exploited in Remote Code Execution Attacks

For English, see below.

Beschrijving

Er bevinden zich twee kwetsbaarheden in Ivanti Endpoint Manager Mobile (EPMM), een oplossing voor mobiel apparaatbeheer (voorheen MobileIron Core). Het betreft de volgende kwetsbaarheden:

  • CVE-2025-4427: door een kwetsbaarheid in de API-component van EPMM kan een ongeauthenticeerde, externe aanvaller toegang krijgen tot API-endpoints die normaal alleen beschikbaar zijn voor geauthenticeerde gebruikers.
  • CVE-2025-4428: een geauthenticeerde aanvaller kan via deze kwetsbaarheid willekeurige code uitvoeren op een kwetsbaar systeem.

Door deze kwetsbaarheden te combineren, kan een aanvaller zonder enige vorm van authenticatie willekeurige code uitvoeren op een kwetsbare EPMM-installatie. De kwetsbaarheden zijn gerelateerd aan open-source bibliotheken waarvan EPMM gebruikmaakt.

De kwetsbaarheden worden momenteel actief uitgebuit in het wild, zij het in beperkte mate. Ivanti heeft bevestigd dat er gerichte aanvallen plaatsvinden waarbij deze kwetsbaarheden worden gecombineerd. Er is geen publiek beschikbare proof-of-concept op het moment van schrijven. Organisaties die API-toegang beperken via Portal ACL’s of een externe Web Application Firewall (WAF) lopen minder risico.

Kwetsbare versies

De kwetsbaarheden bevinden zich in onderstaande versies van Ivanti Endpoint Manager Mobile (EPMM):

  • EPMM versie 11.12.0.4 en eerder
  • EPMM versie 12.3.0.1 en eerder
  • EPMM versie 12.4.0.1 en eerder
  • EPMM versie 12.5.0.0 en eerder

Oplossingen en tijdelijke mitigaties

Ivanti heeft de kwetsbaarheden verholpen via onderstaande patches en nieuwe versies:

  • EPMM versie 11.12.0.5
  • EPMM versie 12.3.0.2
  • EPMM versie 12.4.0.2
  • EPMM versie 12.5.0.1

Ivanti adviseert organisaties die de patch nog niet kunnen installeren om de toegang tot de API te beperken via Portal ACL’s of een externe Web Application Firewall (WAF). Dit verkleint de kans op succesvolle uitbuiting van de kwetsbaarheden.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.

===== ENGLISH =====

Description

Two vulnerabilities have been identified in Ivanti Endpoint Manager Mobile (EPMM), a mobile device management solution (formerly MobileIron Core). These vulnerabilities are:

  • CVE-2025-4427: due to a flaw in the API component of EPMM, an unauthenticated, remote attacker can gain access to API endpoints that are normally only available to authenticated users.
  • CVE-2025-4428: an authenticated attacker can exploit this vulnerability to execute arbitrary code on a vulnerable system.

By chaining these vulnerabilities, an attacker can execute arbitrary code on a vulnerable EPMM installation without any form of authentication. The vulnerabilities are related to open-source libraries used by EPMM.

The vulnerabilities are currently being actively exploited in the wild, although on a limited scale. Ivanti has confirmed that targeted attacks are taking place in which these vulnerabilities are combined. At the time of writing, no public proof-of-concept is available. Organizations that restrict API access via Portal ACLs or an external Web Application Firewall (WAF) are at reduced risk.

Vulnerable versions

The vulnerabilities are present in the following versions of Ivanti Endpoint Manager Mobile (EPMM):

  • EPMM version 11.12.0.4 and earlier
  • EPMM version 12.3.0.1 and earlier
  • EPMM version 12.4.0.1 and earlier
  • EPMM version 12.5.0.0 and earlier

Solutions and workarounds

Ivanti has addressed the vulnerabilities through the following patches and new versions:

  • EPMM version 11.12.0.5
  • EPMM version 12.3.0.2
  • EPMM version 12.4.0.2
  • EPMM version 12.5.0.1

Ivanti advises organizations that are unable to install the patch to restrict access to the API via Portal ACLs or an external Web Application Firewall (WAF). This reduces the likelihood of successful exploitation of the vulnerabilities.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl.

 

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Training NIS2 Directive Foundation (Incl. PECB-certificering + examen)

De NIS 2-richtlijn Foundation-training schetst de essentiële inzichten die nodig zijn om de vereisten van de NIS 2-richtlijn met betrekking tot cyberbeveiligingsmaatregelen te begrijpen. Het biedt de kernconcepten die nodig zijn om organisaties te ondersteunen in de eerste fasen van planning, implementatie en beheer van cyberbeveiligingsprogramma’s.

De NIS 2-richtlijn Foundation training biedt een introductie in de NIS 2-richtlijn met als doel organisaties te helpen hun cyberbeveiliging te verbeteren met het oog op de steeds groter wordende cyberdreigingen. Deze wetgeving speelt een centrale rol bij het versterken van de cyberbeveiliging binnen kritieke infrastructuursectoren zoals energie, transport, gezondheidszorg en digitale diensten. De PECB NIS 2 Directive Foundation training behandelt de fundamentele concepten met betrekking tot de vereisten van de richtlijn. De cursus biedt informatie die u helpt de best practices voor het beschermen van kritieke infrastructuur tegen cyberdreigingen te begrijpen.

Voor wie?

  • Cyberbeveiligingsprofessionals die een fundamenteel inzicht willen krijgen in de vereisten van de NIS 2-richtlijn en praktische strategieën willen leren om robuuste cyberbeveiligingsmaatregelen te implementeren
  • IT-managers en -professionals die fundamentele inzichten willen verwerven in het implementeren van veilige systemen en het verbeteren van de veerkracht van kritieke systemen
  • Overheidsfunctionarissen en regelgevende instanties die verantwoordelijk zijn voor de handhaving van de NIS 2-richtlijn

Tijdens deze 4-daagse training behandelen we de volgende domeinen:

  • Domein 1: Fundamentele concepten en definities van de NIS 2-richtijn
  • Domein 2: NIS 2 Directive requirements

Datum: Op aanvraag

Waar: Delftechpark 35, Delft

Prijs: € 2495-, per deelnemer (excl. BTW). De inschrijving is definitief na ontvangst van de betaling.

Aanmelden:

"*" geeft vereiste velden aan

Mijn inschrijving is*

Inclusief:

  • materiaal
  • lunch
  • examen
  • examenvoucher

Extra informatie

Gebruik van eigen laptop

Wilt u meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Eric van Loon

CISO & Manager Security Consultancy at Pinewood | MSc | BEng | CISA | CISM | CISSP | CCSP | CIPP/E

eric.vanloon@pinewood.nl

Training NIS2 Directive Lead Manager (Incl. PECB-certificering + examen)

De training Certified NIS 2 Directive Lead Implementer stelt deelnemers in staat de benodigde competenties te verwerven om organisaties te ondersteunen bij het effectief plannen, implementeren, beheren, monitoren en onderhouden van een cyberbeveiligingsprogramma dat voldoet aan de eisen van de NIS 2-richtlijn.

Door deel te nemen aan de training Lead Implementer van de NIS 2-richtlijn, krijgt u diepgaande kennis van de vereisten van de richtlijn, implementatiestrategieën en best practices die kritieke infrastructuur beschermen tegen cyberdreigingen. Door middel van interactieve sessies en praktische oefeningen leert u hoe u de cyberbeveiligingsrisico’s van uw organisatie beoordeelt, robuuste incidentbestrijdingsplannen ontwikkelt en effectieve beveiligingsmaatregelen implementeert om te voldoen aan de vereisten van de NIS 2-richtlijn. Bovendien krijgt u inzicht in industriestandaarden en best practices waarmee u op de hoogte kunt blijven van het veranderende bedreigingslandschap en geavanceerde cyberbeveiligingsoplossingen kunt implementeren. Na het succesvol afronden van deze training ben je een vertrouwde cyberbeveiligingsprofessional die over de expertise beschikt om door het complexe landschap van kritieke cyberbeveiligingsinfrastructuur te navigeren en bij te dragen aan de veerkracht van je organisatie en de samenleving als geheel.

Voor wie?

  • Cyberbeveiligingsprofessionals die een grondig begrip willen krijgen van de vereisten van de NIS 2-richtlijn en praktische strategieën willen leren om robuuste cyberbeveiligingsmaatregelen te implementeren
  • IT-managers en -professionals die inzicht willen krijgen in de implementatie van veilige systemen en de veerkracht van kritieke systemen willen verbeteren
  • Overheidsfunctionarissen en regelgevende instanties die verantwoordelijk zijn voor de handhaving van de NIS 2-richtlijn

Tijdens deze 4-daagse training behandelen we de volgende domeinen:

  • Domein 1: Fundamentele concepten en definities van de NIS 2-richtijn
  • Domein 2: Planning van de implementatie van de vereisten van de NIS 2-richtlijn
  • Domein 3: Cyberbeveiligingsrollen en-verantwoordelijkheden en risiobeheer
  • Domein 4: Cyberbeveiligingscontroles, incidentbeheer en crisisbeheer
  • Domein 5: Communicatie en bewustzijn
  • Domein 6: Testen en monitoren van een cyberbeveiligingsprogramma

Datum: Op aanvraag

Waar: Delftechpark 35, Delft

Prijs: € 2495-, per deelnemer (excl. BTW). De inschrijving is definitief na ontvangst van de betaling.

Aanmelden:

"*" geeft vereiste velden aan

Mijn inschrijving is*

Inclusief:

  • materiaal
  • lunch
  • examen
  • examenvoucher

Extra informatie

Gebruik van eigen laptop

Wilt u meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Eric van Loon

CISO & Manager Security Consultancy at Pinewood | MSc | BEng | CISA | CISM | CISSP | CCSP | CIPP/E

eric.vanloon@pinewood.nl

Webinar: Cyber Alerts uitgelicht – Zorg ervoor dat uw organisatie voorbereid is op de uitdagingen van morgen

Pinewood monitort continu alle ontwikkelingen die naar voren komen uit het steeds ontwikkelende (cybersecurity-)landschap. Maandelijks geven we hiervoor de Cyber Alerts nieuwsbrief uit. In dit webinar bundelen en lichten wij de belangrijkste ontwikkelingen die gedurende afgelopen periode zijn opgevallen en nog verwachten extra uit.

O.a. de volgende aandachtspunten worden uitgelicht:

  • Grootschalige social engineering campagnes
  • Malafide inzet van Remote Monitoring & Management tools
  • Aanhoudende aanvallen op publiek ontsloten netwerkdevices
  • Belang van breed uitgerolde EDR.

Wanneer?

15 mei 10:00 uur

Dit webinar wordt ook opgenomen. Dus mocht je op 15 mei niet aanwezig kunnen zijn, schrijf je dan wel in en ontvang de link naar de opgenomen versie.

Voor wie?

Dit webinar is bedoeld voor:

  • Security Officers
  • CISO’s/TISO’s
  • IT management
  • Directie
  • Technisch of functioneel systeembeheerders

Schrijf je hier in:

"*" geeft vereiste velden aan

Wil je meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl

Pinewood Security Bulletin –  Sharp Increase in AitM Phishing Attacks on Microsoft Accounts

For English, see below.

Beschrijving

Het Pinewood SOC heeft de laatste dagen een sterke toename waargenomen in phishing-aanvallen die zich richt op inloggegevens voor Microsoft 365. De aanvallen volgen hierbij steeds eenzelfde patroon:

  1. Het slachtoffer ontvangt een e-mail van een (meestal Nederlandse) derde partij wiens account eerder is gecompromitteerd. Deze e-mail bevat veelal de naam van de organisatie en bevat een link die verwijst naar het pad /drive op een steeds wisselend domein (bijvoorbeeld hxxps[:]//<phishdomain>/drive).
  2. Na het klikken op de link komt de gebruiker uit bij een CloudFlare CAPTCHA die uiteindelijk leidt naar een neppe OneDrive-pagina waarop zogenaamd een “Shared file” wordt aangeboden. Zie het screenshot Neppe Onedrive-pagina.png in de bijlagen.
  3. Na het invullen van inloggegevens stuurt de aanvaller het slachtoffer door naar een Actor-in-the-Middle (AitM) phishing-website waarmee de gebruiker uitkomt op de echte Microsoft 365 inlogpagina van de organisatie. De verbinding verloopt echter via de server van de aanvaller, waardoor de sessietokens onderschept worden. Deze phishing-website draait in veel gevallen op een .icu domein met daarin de tekst “securedoc”, zoals bijvoorbeeld hxxps[:]//login[.]securedoc5553[.]icu/. Zie ook het screenshot Phishing-pagina.png in de bijlage.
  4. Na het inloggen via de AitM-website heeft de aanvaller nu de beschikking over de inloggegevens van het slachtoffer, inclusief eventuele tokens die gebruikt worden voor MFA-authenticatie. De aanvaller kan zich hierna bij Microsoft authenticeren op het account van het slachtoffer, zelfs als dit account beveiligd is middels MFA.

Voorkomen van misbruik

Om de kans op een succesvolle aanval te verkleinen is het voor een strakke inrichting van o.a. Conditional Access van groot belang. Denk hierbij aan het volgende:

  • Verklein de standaard “sign-in frequency” van 90 dagen naar een kortere periode.
  • Vereis dat gebruikers zich alleen kunnen aanmelden vanuit managed en compliant devices.
  • Maak gebruik van de “location”-conditie waarmee het mogelijk is om eisen op te leggen m.b.t. de locatie van waaruit de gebruiker inlogt.
  • Maak gebruik van Entra ID Protection Risk policies

Daarnaast kan het voor deze specifieke campagne helpen om eindgebruikers op de hoogte te stellen van hoe ze een aanval kunnen herkennen. Maak hiervoor gebruik van de kenmerken zoals beschreven aan het begin van dit bulletin.

Zie voor meer details over hoe je misbruik kunt voorkomen ook onze eerdere bulletin “Account compromise activity“ (september 2023).

Detectie van mogelijk misbruik

Er bestaan diverse manieren waarop de beschreven aanval is te herkennen. Wees in ieder geval alert op waarschuwingen die Microsoft Defender uitgeeft. De campagne die we nu zien, leidt in veel gevallen tot alarmen zoals:

  • “Risky sign-in after clicking a possible AiTM phishing URL”;
  • “A potentially malicious URL click was detected”; en
  • “Unfamiliar sign-in properties”.

Als u bent aangesloten op het Pinewood SOC wordt op deze meldingen uiteraard actief gemonitord. Daarnaast monitoren we ook op de indicators of compromise van deze phishing-aanvallen vanuit onze verschillende CTI-bronnen.

Het Pinewood SOC heeft verder aanvullende detectiemechanismen waarmee dit type phishing-aanvallen kunnen worden gedetecteerd in een vroeg stadium. Klanten van het Pinewood SOC raden we daarom aan om aan te sluiten op de AitM Monitor indien dit nog niet gebeurd is.

Mitigatieadvies voor Gecompromitteerde Accounts

Op het moment dat een account in handen van een aanvaller valt, is het allereerst van groot belang om dit zo snel mogelijk vast te stellen. De schade is het kleinst als de aanvaller al snel weer de toegang tot een account kwijtraakt. Na het vaststellen van misbruik van een account raden wij aan om standaard een aantal stappen uit te voeren:

  • Schakel het account in eerste instantie uit (disable account) zodat de aanvaller geen gebruik meer kan maken van het account. Verklaar tevens direct alle refresh tokens die aan het account hangen ongeldig zodat de aanvaller ook daar geen gebruik meer van kan maken.
  • Ga ervanuit dat de aanvaller volledige controle heeft over de authenticatie-informatie van de gebruiker. Reset daarom het wachtwoord én controleer de verificatiemethoden (MFA) van de gebruiker. Verwijder alle verificatiemethoden waarover twijfel bestaat.
  • Het is bekend dat aanvallers na een succesvolle inbraak op een account ook regelmatig mail forwarding rules aanmaken zodat zij toegang blijven houden tot de e-mails van een gebruiker, zelfs als zij de controle over het account zelf zijn kwijtgeraakt. Controleer daarom altijd alle mailbox rules en mailbox forwarding rules die op het account zijn geconfigureerd.
  • In sommige gevallen slaagt een aanvaller er zelfs in om een eigen apparaat (device) te registreren op naam van de gebruiker welke vervolgens vertrouwd wordt. Controleer daarom ook of de lijst aan “enrolled devices” valide is.
  • Controleer tot slot alle activiteiten die vanuit het account zijn uitgevoerd vanaf het moment dat dit account in handen van de aanvaller viel. Maak hiervoor gebruik van de uitgebreide audit-functionaliteiten die Microsoft biedt.

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.

===== ENGLISH =====

Description

The Pinewood SOC has observed a significant increase in phishing activity targeting Microsoft 365 credentials in recent days. The attacks follow a consistent pattern:

  1. The victim receives an email from a (usually Dutch) third party whose account has previously been compromised. This email usually contains the name of the organization and includes a link pointing to the path /drive on an ever-changing domain (e.g., hxxps[:]//<phishdomain>/drive).
  2. After clicking on the link, the user ends up with a CloudFlare CAPTCHA that eventually leads to a fake OneDrive page supposedly offering a “Shared file.” See the screenshot Neppe Onedrive-pagina.png in the attachments.
  3. After entering login credentials, the attacker redirects the victim to an Actor-in-the-Middle (AitM) phishing website that takes the user to the organization’s real Microsoft 365 login page. However, the connection goes through the attacker’s server, intercepting the session tokens. In many cases, this phishing website runs on an .icu domain containing the text “securedoc,” such as hxxps[:]//login[.]securedoc5553[.]icu/. See also the screenshot Phishing-pagina.png attached.
  4. After logging in via the AitM website, the attacker now has access to the victim’s login credentials, including any tokens used for MFA authentication. The attacker can then authenticate to Microsoft on the victim’s account, even if this account is secured using MFA.

Preventing Abuse

To reduce the likelihood of a successful attack, it is crucial to have a well-configured Conditional Access setup. Consider the following:

  • Reduce the default “sign-in frequency” from 90 days to a shorter period.
  • Require users to sign in only from managed and compliant devices.
  • Use the “location” condition to impose requirements regarding the location from which the user logs in.
  • Utilize Entra ID Protection Risk policies.

Additionally, for this specific campaign, it may help to inform end-users on how to recognize an attack. Use the characteristics described at the beginning of this bulletin.

For more details on how to prevent abuse, refer to our previous bulletin “Account compromise activity” (September 2023).

Detecting Possible Abuse

There are several ways in which the described attack can be recognized. In any case, be alert to alerts issued by Microsoft Defender. The campaign we’re observing often leads to alerts such as:

  • “Risky sign-in after clicking a possible AiTM phishing URL”;
  • “A potentially malicious URL click was detected”; and
  • “Unfamiliar sign-in properties.”

Of course, if you are a SOC customer, these notifications are actively monitored. In addition, we also monitor for indicators of compromise of these phishing attacks based on our various CTI sources.

The Pinewood SOC has additional controls to detect AitM phishing attacks at an early stage. We therefore recommend that Pinewood SOC customers connect to the AitM Monitor if they have not done so already.

Advice for Mitigation of Account Compromise

If an account falls into the hands of an attacker, it is crucial to identify this as quickly as possible. The damage is minimized if the attacker loses access to the account soon after. Upon detecting account abuse, we recommend performing the following standard steps:

  • Initially disable the account so the attacker can no longer use it. Also, immediately invalidate all refresh tokens associated with the account to prevent the attacker from using them.
  • Assume the attacker has full control over the user’s authentication information. Therefore, reset the user’s password and check the configured verification methods (MFA). Remove any MFA methods that look suspicious.
  • It is known that attackers often create mail forwarding rules after successfully compromising an account to maintain access to the user’s emails, even if they lose control of the account itself. Always check all mailbox rules and mailbox forwarding rules configured on the account.
  • In some cases, an attacker may even register their own device in the user’s name, which is then trusted. Always check if the list of “enrolled devices” is valid.
  • Finally, review all activities performed from the account since it fell into the attacker’s hands. Use the extensive audit functionalities provided by Microsoft for this purpose.

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Critical Ingress NGINX Vulnerabilities Expose Kubernetes Clusters to RCE

For English, see below.

Beschrijving

Er zijn vijf kritieke kwetsbaarheden ontdekt in de Ingress NGINX Controller voor Kubernetes, gezamenlijk aangeduid als “IngressNightmare”, welke zich specifiek bevinden zich in de admission controller component van de Ingress NGINX Controller. Dit stelt aanvallers in staat om willekeurige code uit te voeren en kwaadaardige NGINX-configuraties te injecteren. De beveiligingslekken bevinden zich specifiek in de NGINX Controller voor Kubernetes en zijn niet van toepassing op reguliere installaties van NGINX. Vooral cloudomgevingen lijken kwetsbaar te zijn.

Misbruik is eenvoudig, vooral omdat de admission controllers vaak toegankelijk zijn via internet zonder authenticatie. De ontdekkers hebben de verschillende stappen beschreven die een aanvaller kan doorlopen om – door het combineren van deze kwetsbaarheden – het uitvoeren van willekeurige code te bereiken. Er zijn nog geen meldingen van actief misbruik, maar de verwachting is dat aanvallers snel zullen proberen hiervan misbruik te maken.

Kwetsbare versies

De kwetsbaarheden bevinden zich in onderstaande versies van de Ingress NGINX Controller:

  • Ingress NGINX Controller versie 1.12.0 en eerder
  • Ingress NGINX Controller versie 1.11.4 en eerder

Oplossingen en tijdelijke mitigatie

De kwetsbaarheden zijn verholpen via onderstaande patches:

  • Ingress NGINX Controller versie 1.12.1
  • Ingress NGINX Controller versie 1.11.5

Gebruikers van self-managed Ingress NGINX Controllers raden wij aan deze patches zo snel mogelijk te installeren om misbruik te voorkomen.

Voor gebruikers van de Ingress NGINX Controllers binnen Azure Kubernetes Services (AKS) geldt dat Microsoft de updates in de komende dagen automatisch zal uitrollen indien gebruikgemaakt wordt van een managed NGINX ingress add-on.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.

===== ENGLISH =====

Description

Five critical vulnerabilities have been discovered in the Ingress NGINX Controller for Kubernetes, collectively referred to as “IngressNightmare, specifically in the admission controller component of the Ingress NGINX Controller. The security flaws allow attackers to execute arbitrary code (RCE) and inject malicious NGINX configurations. The vulnerabilities are specific to the NGINX Controller for Kubernetes and do not apply to regular NGINX installations. Cloud environments, in particular, seem to be vulnerable.

Exploitation is relatively easy, especially since the admission controllers are often accessible via the internet without authentication. Researchers have described the various steps an attacker can take to achieve arbitrary code execution by combining these vulnerabilities. There have been no reports of active exploitation yet, but it is expected that attackers will soon attempt to exploit these.

Vulnerable versions

The vulnerabilities are present in the following versions of the Ingress NGINX Controller:

  • Ingress NGINX Controller version 1.12.0 and earlier
  • Ingress NGINX Controller version 1.11.4 and earlier

Solutions and workarounds

The vulnerabilities have been addressed through the following patches:

  • Ingress NGINX Controller version 1.12.1
  • Ingress NGINX Controller version 1.11.5

Users of self-managed Ingress NGINX Controllers are advised to install these patches as soon as possible to prevent exploitation.

For users of Ingress NGINX Controllers running within Azure Kubernetes Services (AKS), Microsoft will automatically roll out the updates in the coming days if a managed NGINX ingress add-on is being used.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

TechWorkshop Lan-Edge: FortiGate, Switches en Wi-Fi van Fortinet

Ben jij klaar om je netwerkvaardigheden naar een hoger niveau te tillen? Sluit je aan bij onze Fortinet LAN-Edge Workshop en duik diep in de wereld van FortiGate, switches en Wi-Fi technologieën! Deze workshop biedt een unieke kans om niet alleen kennis op te doen, maar deze ook direct in de praktijk toe te passen. 

Wat kun je verwachten?

We starten de dag met een inspirerende presentatie waarin we de belangrijkste producten en technologieën van Fortinet introduceren. Na deze theoretische basis ga je zelf aan de slag in ons hands-on lab. Onder begeleiding van een lab guide bouw je stap voor stap een complete infrastructuur op, inclusief een Core switch (MC-LAG), Access switch en een Wi-Fi oplossing.

Praktische Toepassingen 

Zodra je de basis hebt gelegd, ga je verder met het configureren en testen van verschillende use-cases. Denk hierbij aan:

  • Beveiliging van de Access laag
  • Gastentoegang en NAC
  • Integratie met Security Fabric
  • Indicators Of Compromise en automation

Voor wie is deze workshop?

 Deze workshop is perfect voor netwerkprofessionals die hun kennis willen uitbreiden en praktische ervaring willen opdoen met Fortinet producten. Met een maximaal aantal van 8 deelnemers (verdeeld in 4 groepen van 2) garanderen we persoonlijke aandacht en een interactieve leeromgeving.

Neem mee: 

Vergeet niet je laptop mee te nemen met zowel wireless als wired LAN verbindingsmogelijkheden!

Agenda:

  • 09.00 – Presentatie
  • 10.30 – Hands-on Workshop deel 1
  • 12.30 – Lunch
  • 13.00 – Hands-on Workshop deel 2
  • 16:00 – Afsluiting

Schrijf je nu in!

Mis deze kans niet om je vaardigheden te verbeteren en je netwerkkennis uit te breiden. Schrijf je vandaag nog in voor de Fortinet LAN-Edge Workshop en ontdek de mogelijkheden die Fortinet te bieden heeft.

Wanneer en waar?:

7 mei, van 09:00 – 16:00 uur bij Delftechpark 35 in Delft.

Schrijf je hieronder:

"*" geeft vereiste velden aan

Wil je meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl

TechWorkshop Lan-Edge: FortiGate, Switches en Wi-Fi van Fortinet

Ben jij klaar om je netwerkvaardigheden naar een hoger niveau te tillen? Sluit je aan bij onze Fortinet LAN-Edge Workshop en duik diep in de wereld van FortiGate, switches en Wi-Fi technologieën! Deze workshop biedt een unieke kans om niet alleen kennis op te doen, maar deze ook direct in de praktijk toe te passen. 

Wat kun je verwachten?

We starten de dag met een inspirerende presentatie waarin we de belangrijkste producten en technologieën van Fortinet introduceren. Na deze theoretische basis ga je zelf aan de slag in ons hands-on lab. Onder begeleiding van een lab guide bouw je stap voor stap een complete infrastructuur op, inclusief een Core switch (MC-LAG), Access switch en een Wi-Fi oplossing.

Praktische Toepassingen 

Zodra je de basis hebt gelegd, ga je verder met het configureren en testen van verschillende use-cases. Denk hierbij aan:

  • Beveiliging van de Access laag
  • Gastentoegang en NAC
  • Integratie met Security Fabric
  • Indicators Of Compromise en automation

Voor wie is deze workshop?

 Deze workshop is perfect voor netwerkprofessionals die hun kennis willen uitbreiden en praktische ervaring willen opdoen met Fortinet producten. Met een maximaal aantal van 8 deelnemers (verdeeld in 4 groepen van 2) garanderen we persoonlijke aandacht en een interactieve leeromgeving.

Neem mee: 

Vergeet niet je laptop mee te nemen met zowel wireless als wired LAN verbindingsmogelijkheden!

Agenda:

  • 09.00 – Presentatie
  • 10.30 – Hands-on Workshop deel 1
  • 12.30 – Lunch
  • 13.00 – Hands-on Workshop deel 2
  • 16:00 – Afsluiting

Schrijf je nu in!

Mis deze kans niet om je vaardigheden te verbeteren en je netwerkkennis uit te breiden. Schrijf je vandaag nog in voor de Fortinet LAN-Edge Workshop en ontdek de mogelijkheden die Fortinet te bieden heeft.

Wanneer en waar?:

16 april, van 09:00 – 16:00 uur bij Delftechpark 35 in Delft.

Schrijf je hieronder:

"*" geeft vereiste velden aan

Wil je meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl

Webinar: Maak je Organisatie Cyberweerbaar met Zero Trust Security

Ben jij klaar om je cyberveiligheid naar een hoger niveau te tillen? In dit webinar ontdek je hoe je jouw organisatie beschermt tegen moderne dreigingen zoals ransomware, datalekken en ongeautoriseerde toegang tot gevoelige gegevens. Deze risico’s kunnen leiden tot grote financiële schade en de continuïteit van je organisatie ernstig in gevaar brengen. We nemen je mee in de transitie van traditionele VPN-netwerktoegang, die vaak toegang biedt tot het volledige bedrijfsnetwerk, naar een krachtig Zero Trust-model. Met Zero Trust Security versterk je de vertrouwelijkheid, integriteit en weerbaarheid van je gegevens en applicaties. Leer hoe je proactief bedreigingen kunt voorkomen en je organisatie kunt wapenen tegen de steeds complexere cybersecurity-uitdagingen van vandaag.

Ontdek tijdens dit webinar:

  • Waarom Zero Trust Security essentieel is in het huidige dreigingslandschap.
  • Hoe je overstapt van een traditionele VPN-oplossing naar een Zero Trust-model.
  • Praktische tips om je bedrijfsnetwerk en data beter te beschermen.

Zet de stap naar een toekomstbestendige cybersecurity-strategie en zorg ervoor dat jouw organisatie veilig opereert in een steeds digitalere wereld.

Voor wie?

Dit webinar is bedoeld voor:

  • Security Officers
  • CISO’s/TISO’s
  • IT management
  • Directie
  • Technisch of functioneel systeembeheerders

Wat kan je verwachten?

  • Welkom & Introductie
      • Korte introductie
      • Overzicht van actuele dreigingen vanuit het Pinewood SOC
  • De Beperkingen van Traditionele VPN-oplossingen
      • Waarom VPN’s niet langer voldoende bescherming bieden
      • De risico’s van een open netwerktoegang voor gebruikers en apparaten
  • Wat is Zero Trust Security?
      • De kernprincipes van Zero Trust (Never Trust, Always Verify)
      • Hoe Zero Trust de vertrouwelijkheid, integriteit en beschikbaarheid van data beschermt
  • De Overgang van VPN naar Zero Trust met Fortinet
      • Hoe Fortinet-oplossingen zoals FortiGate, FortiClient en FortiAnalyzer je helpen bij de transitie naar Zero Trust
      • Zero Trust Network Access (ZTNA) vs. traditionele VPN
      • Praktijkvoorbeelden van succesvolle implementaties
  • Pinewood Best Practices voor een Succesvolle Zero Trust-Implementatie
      • Stapsgewijze aanpak voor organisaties
      • Hoe om te gaan met legacy-systemen en hybride IT-omgevingen

Bekijk hem hier:

Wil je meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl