Webinar:

Detecteren van Phishing met een SOC

Lees verder

Webinar: Informatiebeveiliging & Privacy in de zorg (Stichting IP-Zorg)

Dit webinar gaat over de thema’s op gebied van informatieveiligheid en privacy welke tenminste op de bestuurlijke agenda moeten voorkomen, de prioriteiten en waarom thema’s prioriteit hebben.

Wat moeten bestuurders weten en wat zijn de ontwikkelingen om rekening mee te houden.

Belangrijke punten die o.a. aan bod komen:

  • Cyberweerbaarheid
  • Ontwikkelingen
  • Wet- en regelgeving
  • Leveranciersmanagement
  • Bewustwording

Peter van der Zwan, van Stichting IP-Zorg zal dit webinar geven. Stichting IP-Zorg is een netwerkorganisatie die zich ten doel stelt verbinding tot stand te brengen tussen personen en organisaties die binnen de zorg- en welzijnssector actief zijn op het gebied van informatieveiligheid en privacy. Ook bieden zij zorginstellingen en andere betrokkenen de gelegenheid om op de hoogte te blijven van actuele ontwikkelingen.

 

Voor wie?

Dit webinar is bedoeld voor CISO, Security Officers, beslissers en beïnvloeders op het terrein van informatiebeveiliging in organisaties.

Wanneer?

25 juni 2024 om 10:00 – 10:20 uur en om 14:00 – 14:20 uur.

Schrijf je hieronder in om de opgenomen versie te bekijken:

"*" geeft vereiste velden aan

Wil je meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl

Webinar: Detecteren van Phishing met een SOC

In dit webinar geven we jou een kijkje in de keuken van ons SOC en lichten wij geavanceerde detectie-technieken toe die wij gebruiken, zodat je ervan verzekerd kan zijn dat alle aanvallen niet onopgemerkt blijven!

Cybercriminelen zijn continu op zoek naar manieren om in te breken op de accounts van gebruikers. Vroeger gebeurde dat vooral door naar deze informatie te hengelen via phishingpagina’s die leken op de originele pagina’s waarop gebruikers konden inloggen. Met de introductie van verbeterde authenticatiemiddelen, met name multifactor authenticatie, werken deze traditionele phishingpagina’s niet meer afdoende en zijn de cybercriminelen overgeschakeld op nieuwe manieren van phishing.

Binnen het Pinewood SOC zijn diverse regels geactiveerd om ‘gewone’ phishing-aanvallen via de mail te detecteren. Ondanks dat is het altijd mogelijk dat een aanval onopgemerkt blijft en daarom blijft Pinewood altijd op zoek naar nieuwe manieren om misbruik te detecteren.

Voor wie?

Dit webinar is bedoeld voor CISO, Security Officers, beslissers en beïnvloeders op het terrein van informatiebeveiliging in organisaties.

Wanneer?

5 juni 2024 om 10:00 – 10:20 uur en om 14:00 – 14:20 uur.

Schrijf je hieronder in om de opgenomen versie te bekijken:

"*" geeft vereiste velden aan

Wil je meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl

Pinewood Security Bulletin – Cisco warns for vulnerabilities used to install backdoors in ASA/FirePower devices

For English, see below.

Beschrijving

Cisco heeft een waarschuwing uitgegeven voor een aanvalscampagne genaamd “ArcaneDoor” waarbij kwaadwillenden sinds November 2023 Cisco ASA en FirePower devices hebben voorzien van backdoors. De vermoedelijk statelijke actor achter deze campagne (UAT4356/STORM-1849) heeft daarbij twee verschillende typen backdoors op devices geplaatst (“Line Runner” en “Line Dancer”). Met deze backdoors kon de actor configuraties van devices wijzigen, verdere reconnaissance uitvoeren, netwerkverkeer onderscheppen en exfiltreren en mogelijk verder bewegen binnen het netwerk.

Binnen de campagne hebben de aanvallers misbruik gemaakt van twee kwetsbaarheden waarmee lokaal root-rechten kunnen worden verkregen (CVE-2024-20359) en op afstand een reboot van het device kan worden geïnitieerd (CVE-2024-20353). Geen van beide kwetsbaarheden bieden een aanvaller echter de mogelijkheid om op afstand ongeauthenticeerd toegang tot een device te verkrijgen. Het is op dit moment dan ook nog onduidelijk hoe de aanvallers in eerste instantie deze toegang hebben verkregen.

Kwetsbare versies

De kwetsbaarheden bevinden zich in Cisco ASA 9.12 en 9.14.

Oplossingen en tijdelijke mitigaties

Cisco heeft nieuwe versies van Cisco ASA uitgebracht om de kwetsbaarheden te verhelpen. De meest recente versies van Cisco ASA zijn:

  • 9.16.4.57
  • 9.18.4.22
  • 9.20.2.10

Detectie van mogelijk misbruik

Detectie van “Line Runner”

Cisco beschrijft twee methoden voor het detecteren van de “Line Runner” backdoor die beiden controles bevatten op de aanwezigheid van een ZIP-bestand op disk0:

  • Optie 1: Update het device met een fix voor CVE-2024-20359 en bekijk daarna de inhoud van disk0: (via het commando show disk0:). Indien disk0: een ZIP-bestand bevat (“client_bundle_install.zip” of andere ongebruikelijke ZIP), dan is dat een indicatie van de aanwezigheid van “Line Runner”.
  • Optie 2: Maak een dummy ZIP-bestand aan op disk0:, reboot het device en controleer daarna of het bestand “client_bundle_install.zip” aanwezig is op disk0:. Indien dit het geval is, is dit een sterke indicatie voor de aanwezigheid van “Line Runner”. Voer voor deze controle de volgende commando’s uit (let op dat het device hierdoor zal herstarten):

    asa> enable
    asa# show version | redirect disk0:/client_bundle.zip
    asa# show disk0:
    asa# reload
    asa> enable
    asa# show disk0:

Controle van geheugen

Via het commando show memory region | include lina is het mogelijk een output te genereren van de geheugenopmaak van het device. In de output van dit commando mag er maar één regel voorkomen waarin de permissies “r-xp” terug te vinden zijn. Indien meerdere regels in de output deze permissies bevatten, is het device mogelijk gecompromitteerd.

Controle van IP-adressen

Cisco heeft een reeks aan IP-adressen gepubliceerd die in de aanvalscampagne zijn gebruikt. Het Pinewood SOC heeft deze IP-adressen aan de monitoring toegevoegd en een historische check uitgevoerd tegen de data van klanten die gebruikmaken van Cisco ASA.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.

===== ENGLISH =====

Description

Cisco sent out a warning for a threat actor campaign named “ArcaneDoor” in which attackers have infected Cisco ASA and FirePower devices with backdoors since November 2023. It is believed that the nation-state actor UAT4356 (STORM-1849) behind this campaign distributed two backdoors (“Line Runner” and “Line Dancer”) to vulnerable devices. With these backdoors in place, the threat actor was able to modify the system’s configuration, start reconnaissance, capture and exfiltrate network traffic and potentially move laterally within the network.

Within the campaign, the attackers exploited two vulnerabilities, one that enables a local attacker to gain root-permissions (CVE-2024-20359) and another that allows a remote attacker to initiate a reboot of the device (CVE-2024-20353). None of these vulnerabilities allow an attacker to gain remote access to the device. It is therefore still unclear how the attackers succeeded in getting the initial access in the first place.

Vulnerable versions

The vulnerabilities exist in ASA versions 9.12 and 9.14.

Solutions and workarounds

Cisco released new versions of Cisco ASA to fix the vulnerabilities. The most recent versions of Cisco ASA currently are:

  • 9.16.4.57
  • 9.18.4.22
  • 9.20.2.10

Detection of possible misuse

Detection of “Line Runner”

Cisco describes two ways in which the existence of “Line Runner” on a device can be determined by checking for a specific ZIP-file on disk0:

  • Option 1: Update the device with a fix for CVE-2024-20359 and then check the contents of disk0: (by issuing the command show disk0:). If disk0: contains a ZIP file (“client_bundle_install.zip” or other unusual ZIP-file), this is an indication that “Line Runner” is installed on the device.
  • Option 2: Create a dummy ZIP file on disk0:, reboot the device and then check if the file “client_bundle_install.zip” can be found on disk0:. If this is the case, this is a strong indication that “Line Runner” is installed. To execute this check, use the commands below (note that the device will reboot):

    asa> enable
    asa# show version | redirect disk0:/client_bundle.zip
    asa# show disk0:
    asa# reload
    asa> enable
    asa# show disk0:

Memory check

By running the command show memory region | include lina, it’s possible to generate an output showing all the memory regions active within the device. This output should contain only one line showing the permissions “r-xp”. If multiple memory regions are enabled with these permissions, this is an indication that the device has been compromised.

IP address check

Cisco published a list of IP addresses that are known to be involved in the attacks. The Pinewood SOC added these IP addresses to its detection and executed a historical check against data of customers using Cisco ASA.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Webinar: Hoe kan je je voorbereiden op de NIS 2?

Hoe kunnen organisaties voldoen aan de NIS 2 regelgeving, in afwachting van Nederlandse wetgeving? Die vraag staat centraal tijdens het NIS 2 webinar van Pinewood. Langs bestaande kaders wordt invulling gegeven aan de richtlijn, en wordt op een praktische manier verteld waar een organisatie rekening mee moet houden.

De volgende punten worden besproken:

  • Information Security Management System
  • Incident management & meldplicht
  • Risicomanagement
  • Leveranciersmanagement
  • Bewustwording
  • Q&A

Voor wie?

Dit webinar is bedoeld voor beslissers en beinvloeders op het terrein van informatiebeveiliging in organisaties.

Wanneer?

14 mei 2024 om 10:00 – 10:20 uur en om 14:00 – 14:20 uur.

Schrijf je hieronder in om de opgenomen versie te bekijken:

"*" geeft vereiste velden aan

Wil je meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl

UPDATE 2: Pinewood Security Bulletin – Palo Alto PAN-OS: OS Command Injection

For English, see below.

Update 17-04-2024

Deze mail bevat diverse updates over de recente kwetsbaarheid in Palo Alto PAN-OS.

Palo Alto geeft aan dat, in tegenstelling tot wat eerder werd gesteld, het uitschakelen van de ‘Device Telemetry’-functionaliteit geen bescherming biedt tegen misbruik van deze kwetsbaarheid. Elk device dat gebruikmaakt van de ‘GlobalProtect’-functionaliteit is daarom kwetsbaar wanneer deze niet is voorzien van de laatste updates en ‘Threat Prevention’ voor deze kwetsbaarheid niet is ingeschakeld.

Verder geeft Palo Alto aan dat de kwetsbaarheid in toenemende mate wordt misbruikt en dat er diverse proof of concepts zijn verschenen waarmee het mogelijk is deze kwetsbaarheid uit te buiten.

Tot slot zijn er updates verschenen voor aanvullende versies van PAN-OS en heeft Palo Alto een check beschreven die op PAN-OS devices kan worden uitgevoerd om te controleren of misbruik van de kwetsbaarheid heeft plaatsgevonden.

Bovenstaande ontwikkelingen zijn de reden voor een update op onze initiële bulletin. De details zijn terug te vinden in de rest van dit bulletin.

Beschrijving

Er is een kwetsbaarheid ontdekt in de Palo Alto Networks PAN-OS software die kwaadwillenden in staat stelt om ongeautoriseerde code uit te voeren met root-rechten op de firewall.

Een systeem is kwetsbaar wanneer het de ‘GlobalProtect’-functionaliteit gebruikt. Palo Alto geeft aan dat deze kwetsbaarheid actief wordt misbruikt voor het overnemen van kwetsbare devices.

Kwetsbare versies

De kwetsbaarheid is van toepassing op onderstaande PAN-OS versies:

  • PAN-OS 11.1: versies voor 11.1.2-h3 (inclusief 11.1.0- en 11.1.1-versies)
  • PAN-OS 11.0: versies voor 11.0.4-h1 (inclusief 11.0.0 t/m 11.0.3-versies)
  • PAN-OS 10.2: versies voor 10.2.9-h1 (inclusief 10.2.0 t/m 10.2.8-versies)

Oplossingen en tijdelijke mitigaties

Palo Alto heeft hotfixes uitgebracht die deze kwetsbaarheid verhelpen. Het gaat om onderstaande hotfixes:

  • PAN-OS 11.1:
    • PAN-OS 11.1.2-h3
    • PAN-OS 11.1.1-h1
    • PAN-OS 11.1.0-h3
  • PAN-OS 11.0:
    • PAN-OS 11.0.4-h1
    • PAN-OS 11.0.3-h10
    • PAN-OS 11.0.2-h4
  • PAN-OS 10.2:
    • PAN-OS 10.2.9-h1
    • PAN-OS 10.2.8-h3
    • PAN-OS 10.2.7-h8
    • PAN-OS 10.2.6-h3
    • PAN-OS 10.2.5-h6

 

Hotfixes voor overige kwetsbare versies van PAN-OS zal Palo Alto in de komende dagen uitbrengen.

Indien er nog geen hotfix beschikbaar is voor de gebruikte versie van PAN-OS, bestaat er voor klanten met een ‘Threat Prevention’-abonnement de mogelijkheid om misbruik van de kwetsbaarheid te blokkeren. Dit kan worden gedaan door ‘Threat ID’ 95187 te activeren. Let er op dat deze threat ID moet worden toegepast op de GlobalProtect interface. Zie dit artikel voor meer informatie.

Noot: voorheen leek ook het uitschakelen van de ‘Device Telemetry’-functionaliteit een mitigerende maatregel te zijn. Inmiddels is echter duidelijk dat het uitschakelen hiervan geen effectieve maatregel is om misbruik van de kwetsbaarheid te voorkomen.

Detectie van mogelijk misbruik

Palo Alto Networks meldt dat er een toenemende hoeveelheid aanvallen is waargenomen die misbruik maken van deze kwetsbaarheid. Klanten kunnen een case openen op het Customer Support Portal om hun logs te laten onderzoeken op misbruik van deze kwetsbaarheid.

Daarnaast heeft Palo Alto een aantal manieren beschreven waarop misbruik van de kwetsbaarheid kan worden vastgesteld.

Generieke detectie

Controle op misbruik van de kwetsbaarheid is mogelijk door onderstaand commando uit te voeren binnen de PAN-OS CLI:

grep pattern “failed to unmarshal session(.\+.\/” mp-log gpsvc.log*

Bij normaal gebruik van het device verschijnen, als output van dit commando, regels zoals hieronder, waarbij aan het einde van de regel tussen de haakjes een GUID zichtbaar is:

“message”:”failed to unmarshal session(01234567-89ab-cdef-1234-567890abcdef)”

Indien tussen de haakjes geen GUID maar een padverwijzing te zien is, wijst dit op succesvol misbruik van de kwetsbaarheid.

Detectie van initiële campagne

Naast de generieke detectie van misbruik van de kwetsbaarheid, heeft Palo Alto ook queries beschikbaar gesteld waarmee het mogelijk is om te controleren of een device mogelijk gecompromitteerd is bij een initiële campagne van misbruik. Deze controle kan worden uitgevoerd in de vorm van XQL-queries waarbij gezocht wordt op de volgende kenmerken:

  • De aanwezigheid van het domein .*nhdata.s3-us-west-2.amazonaws[.]com in de ruwe logs;
  • Hits op signature 95187 (indien deze is geactiveerd via Threat Prevention);
  • De aanwezigheid van bekende malafide IP-adressen in de ruwe logs en in telemetriedata.

Deze controles hebben betrekking op kenmerken van een bekende campagne en helpen niet bij het detecteren van nieuwe aanvallen.

Het Pinewood SOC heeft de bekende indicatoren van deze campagne in de detectie.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center (SOC). Het Pinewood SOC is bereikbaar via +31 15 251 36 33 en via soc@pinewood.nl.

===== ENGLISH =====

Update 17-04-2024

This mail describes several updates on the recent vulnerability in Palo Alto PAN-OS.

Palo Alto has indicated that, contrary to what was previously stated, disabling the ‘Device Telemetry’  functionality does not prevent exploitation of the vulnerability. Each device using the ‘ GlobalProtect’  functionality without the hotfixes installed and without the specific ‘Threat Prevention’ for this vulnerability enabled, is therefore vulnerable.

In addition, Palo Alto has stated that this vulnerability is increasingly being abused and that multiple proof of concepts were released that will enable easy exploitation of it.

Several additional hotfixes were released for other versions of PAN-OS and Palo Alto described an additional check that can be performed on devices to determine if the vulnerability was successfully exploited on the device.

These developments have been the reason for this updated bulletin. You can find the details in the remainder of this bulletin.

Description

A vulnerability has been discovered in the Palo Alto Networks PAN-OS software that allows malicious actors to execute unauthorized code with root privileges on the firewall.

A system is vulnerable when it uses the ‘GlobalProtect’ functionality. Palo Alto indicates that this vulnerability is actively being abused to infect vulnerable devices.

Vulnerable versions

The vulnerability applies to the following PAN-OS versions:

  • PAN-OS 11.1: versions prior to 11.1.2-h3 (including 11.1.0 and 11.1.1 versions)
  • PAN-OS 11.0: versions prior to 11.0.4-h1 (including versions 11.0.0 through 11.0.3)
  • PAN-OS 10.2: versions prior to 10.2.9-h1 (including versions 10.2.0 through 10.2.8)

Solutions and workarounds

Palo Alto released hotfixes to resolve this vulnerability. The following versions were released:

  • PAN-OS 11.1:
    • PAN-OS 11.1.2-h3
    • PAN-OS 11.1.1-h1
    • PAN-OS 11.1.0-h3
  • PAN-OS 11.0:
    • PAN-OS 11.0.4-h1
    • PAN-OS 11.0.3-h10
    • PAN-OS 11.0.2-h4
  • PAN-OS 10.2:
    • PAN-OS 10.2.9-h1
    • PAN-OS 10.2.8-h3
    • PAN-OS 10.2.7-h8
    • PAN-OS 10.2.6-h3
    • PAN-OS 10.2.5-h6

Hotfixes for other vulnerable versions of PAN-OS will be released in the coming days.

If a hotfix is not yet available for the version of PAN-OS in use, customers with a Threat Prevention subscription have the ability to block exploitation of the vulnerability. This can be done by enabling ‘Threat ID’ 95187. Ensure that this threat ID is applied to the GlobalProtect interface. See this article for more information.

Note: previously, disabling the ‘Device Telemetry’ functionality was seen as a mitigating measure as well. However, recent exploitation has shown that this is not an effective measure to block exploitation of the vulnerability.

Detection of possible misuse

Palo Alto Networks is aware of an increasing number of attacks that leverage the exploitation of this vulnerability. Customers can open a case on the Customer Support Portal to have their logs examined for abuse of this vulnerability.

In addition, Palo Alto has released information on how to detect abuse of the vulnerability in multiple ways.

Generic detection

Detection of the vulnerability on a device can be determined by running the following command within the PAN-OS CLI:

grep pattern “failed to unmarshal session(.\+.\/” mp-log gpsvc.log*

Normally, this will result in an output such as below whereby at the end of the line (between the “(“ and “)” characters) a GUID will be visible:

“message”:”failed to unmarshal session(01234567-89ab-cdef-1234-567890abcdef)”

If this GUID is not visible, but instead a file system path is shown, this indicates successful exploitation of the vulnerability.

Detection of initial campaign

Next to the generic detection, Palo Alto also released queries that will allow for checks on an initial campaign whereby this vulnerability was exploited. The XQL-queries search for the existence of several different characteristics:

  • The existence of the domain .*nhdata.s3-us-west-2.amazonaws[.]com in raw logs;
  • Hits on signature 95187 (if this signature is enabled through Threat Prevention);
  • The existence of well-known malicious IP addresses in raw logs and telemetry data.

These checks are specifically meant to detect the existence of a well-known campaign exploiting this vulnerability and thus will not detect other campaigns.

Pinewood SOC added the known indicators of this campaign to its detection.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center (SOC). The Pinewood SOC can be contacted at +31 15 251 36 33 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Palo Alto PAN-OS: OS Command Injection

For English, see below.

Beschrijving

Er is een kwetsbaarheid ontdekt in de Palo Alto Networks PAN-OS software die kwaadwillenden in staat stelt om ongeautoriseerde code uit te voeren met root-rechten op de firewall.

Een systeem is kwetsbaar wanneer het zowel de ‘GlobalProtect’- als de ‘Device Telemetry’-functionaliteit gebruikt.

Kwetsbare versies

De kwetsbaarheid is van toepassing op onderstaande PAN-OS versies:

  • PAN-OS 11.1: versies voor 11.1.2-h3
  • PAN-OS 11.0: versies voor 11.0.4-h1
  • PAN-OS 10.2: versies voor 10.2.9-h1

Oplossingen en tijdelijke mitigaties

De nieuwste versie van PAN-OS, die een oplossing biedt voor deze kwetsbaarheid, staat gepland voor 14 april 2024.

Voor de periode tot de release zijn er enkele tijdelijke maatregelen die kunnen worden genomen:

Klanten met een ‘Threat Prevention’-abonnement

Klanten met een abonnement op Threat Prevention kunnen de kwetsbaarheid blokkeren door ‘Threat ID’ 95187 te activeren.

Klanten zonder een ‘Threat Prevention’-abonnement

Klanten zonder een Threat Prevention-abonnement kunnen de kwetsbaarheid mitigeren door tijdelijk de ‘Device Telemetry’-functionaliteit uit te schakelen. Raadpleeg de documentatie van Palo Alto Networks voor meer informatie over het uitschakelen van deze functie.

Detectie van mogelijk misbruik

Palo Alto Networks meldt dat er een beperkt aantal aanvallen zijn waargenomen die misbruik maken van deze kwetsbaarheid. Klanten kunnen een case openen op het Customer Support Portal om hun logs te laten onderzoeken op misbruik van deze kwetsbaarheid.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center (SOC). Het Pinewood SOC is bereikbaar via +31 15 251 36 33 en via soc@pinewood.nl.

 

===== ENGLISH =====

Description

A vulnerability has been discovered in the Palo Alto Networks PAN-OS software that allows malicious actors to execute unauthorized code with root privileges on the firewall.

A system is vulnerable when it uses both the ‘GlobalProtect’ and ‘Device Telemetry’ functionalities.

Vulnerable versions

The vulnerability applies to the following PAN-OS versions:

  • PAN-OS 11.1: versions prior to 11.1.2-h3
  • PAN-OS 11.0: versions prior to 11.0.4-h1
  • PAN-OS 10.2: versions prior to 10.2.9-h1

Solutions and workarounds

Currently the latest version of PAN-OS is still vulnerable, the new release which provides a solution to this vulnerability, is scheduled for April 14, 2024.

For the period before the release, there are some temporary mitigations that can be taken:

Customers with a Threat Prevention subscription
Customers with a Threat Prevention subscription can block the vulnerability by enabling ‘Threat ID’ 95187.

Customers without a Threat Prevention subscription
Customers without a Threat Prevention subscription can mitigate the vulnerability by temporarily disabling the ‘Device Telemetry’ functionality. Refer to Palo Alto Networks documentation for more information on disabling this feature.

Detection of possible misuse

Palo Alto Networks is aware of a limited number of attacks that leverage the exploitation of this vulnerability. Customers can open a case on the Customer Support Portal to have their logs examined for abuse of this vulnerability.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center (SOC). The Pinewood SOC can be contacted at +31 15 251 36 33 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Backdoor found in XZ Utils (CVE-2024-3094)

PinewoFor English, see below.

Beschrijving

Er is een backdoor (CVE-2024-3094) aangetroffen in de Linux liblzma-bibliotheek (onderdeel van het “XZ Utils” package) voor het comprimeren en decomprimeren van data. Hoewel deze bibliotheek standaard onderdeel uitmaakt van veel Linux-distributies, lijkt het erop dat de backdoored versie hiervan niet verder is gekomen dan de “unstable”, “test”, “rolling” en “experimental” releases van Linux-distributies. Dit is te danken aan het feit dat de backdoor vroegtijdig werd ontdekt door PostgreSQL-ontwikkelaar Anders Freund.

De backdoor maakt het mogelijk om, via de OpenSSH-service op een Linux-systeem, op afstand willekeurige code uit te voeren door gebruik te maken van een, door de aanvaller gegenereerde, digitale sleutel. De backdoor lijkt na een lange voorbereiding op 24 Februari 2024 geïntroduceerd in de broncode van deze bibliotheek, waarna de ontwikkelaar van de programmatuur (“Jia Tan”) en meerdere personages hebben geprobeerd om deze wijziging zo snel als mogelijk op te laten nemen in de productieversies (“stable” releases) van populaire Linux-distributies zoals Ubuntu en Fedora. Gelukkig is dit dus niet gelukt waardoor de daadwerkelijke impact van de backdoor hiermee beperkt lijkt. Het roept echter wel vragen op m.b.t. andere wijzigingen (“commits”) die Jia Tan over de afgelopen jaren heeft voorgesteld en doorgevoerd in open source producten zoals XZ Utils en libarchive. Deze wijzigingen worden op dit moment door veel ontwikkelaars onderzocht en, waar verdacht, weer teruggedraaid.

Kwetsbare versies

De backdoor bevindt zich in de versies 5.6.0 en 5.6.1 van liblzma. Deze versies zijn door Linux-distributies niet opgenomen in productie/stable releases van deze platformen. Volgens de laatste informatie bevatten onderstaande Linux-distributies genoemde versies:

  • Kali Linux, indien geüpdatet tussen 26 en 29 Maart 2024 [1];
  • openSUSE Tumbleweed en openSUSE MicroOS (beide “rolling” releases), releases tussen 7 en 28 Maart 2024 [2];
  • Fedora 41, Fedora Rawhide en Fedora Linux 40 beta [3];
  • Debian (testing, unstable en experimental distributies) [4];
  • Arch Linux, installatiemedium 2024.03.01, VM images 20240301.218094 en 20240315.221711, en container images die zijn aangemaakt tussen 24 februari 2024 en 28 maart 2024 [5]. Misbruik van de backdoor is hierbij echter niet mogelijk via (Open)SSH.

Oplossingen en tijdelijke mitigaties

De kans dat een organisatie gebruikmaakt van één van bovenstaande Linux-versies die daarnaast ook nog eens internet exposed is via de SSH-service achten wij niet groot. Mocht dit wél het geval zijn, dan is het van belang om het systeem zo snel als mogelijk te isoleren. Volg daarna de aanwijzingen van de betreffende leverancier op.

Detectie

Om te verifiëren óf een systeem gebruikmaakt van een backdoored versie van de genoemde bibliotheek hebben de makers van Kali een script beschikbaar gesteld waarmee dit eenvoudig is vast te stellen [6]. Mocht u twijfelen of een systeem de backdoor bevat, maak dan gebruik van dit script om dit vast te stellen.

Door de manier waarop de backdoor is ingebouwd, is het voor zover nu bekend niet mogelijk om geraakte systemen via netwerkscanners te inventariseren.

Meer informatie

[1] https://www.kali.org/blog/about-the-xz-backdoor/

[2] https://news.opensuse.org/2024/03/29/xz-backdoor/

[3] https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

[4] https://lists.debian.org/debian-security-announce/2024/msg00057.html

[5] https://archlinux.org/news/the-xz-package-has-been-backdoored/

[6] https://www.kali.org/blog/xz-backdoor-getting-started/

[7] https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

[8] https://boehs.org/node/everything-i-know-about-the-xz-backdoor

[9] https://www.tenable.com/blog/frequently-asked-questions-cve-2024-3094-supply-chain-backdoor-in-xz-utils

[10] https://access.redhat.com/security/cve/CVE-2024-3094

[11] https://tukaani.org/xz-backdoor/

[12] https://blog.qualys.com/vulnerabilities-threat-research/2024/03/29/xz-utils-sshd-backdoor

[13] https://linuxiac.com/the-upstream-xz-tarballs-have-been-backdoored/

[14] https://github.com/Midar/xz-backdoor-documentation/wiki

[15] https://tweakers.net/nieuws/220364/5-vragen-over-de-malware-in-compressietool-xz-was-dit-een-achterdeur.html

[16] https://www.rapid7.com/blog/post/2024/04/01/etr-backdoored-xz-utils-cve-2024-3094/

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

 

===== ENGLISH =====

Description

A backdoor (CVE-2024-3094) was found in the liblzma Linux library (part of the XZ Utils package), used to compress and decompress data. Although this library is used in many Linux distributions, the backdoored version of it has “only” reached the unstable, test, rolling and experimental releases of these distributions. Early detection of the backdoor by PostgreSQL developer Anders Freud has prevented the acceptance of the backdoor in stable releases.

The backdoor allows the threat actor to compromise a system by calling the OpenSSH service using a preconfigured digital key. The backdoor was introduced in the package on 24 February 2024 after a long time of preparation. Shortly after releasing the backdoor, the developer (“Jia Tan”) and multiple other personas tried to introduce the backdoor as soon as possible in the production (stable) versions of popular Linux distributions such as Ubuntu and Fedora. Luckily, this has not proven to be successful which limits the impact of this incident. It does however raise questions about other changes that Jia Tan has initiated over the years in open source products such as XZ Utils and libarchive. These changes are currently reviewed by many developers and, where appropriate, reverted.

Vulnerable versions

The backdoor is built into liblzma versions 5.6.0 and 5.6.1. The versions were not accepted into the stable releases of Linux distributions. According to the latest information, the Linux distributions below are known to have used these versions:

  • Kali Linux, if updated between 26 and 29 March 2024 [1];
  • openSUSE Tumbleweed and openSUSE MicroOS (both “rolling” releases), releases between 7 and 28 March 2024 [2];
  • Fedora 41, Fedora Rawhide and Fedora Linux 40 beta [3];
  • Debian (testing, unstable and experimental distributions) [4];
  • Arch Linux, installation medium 2024.03.01, VM images 20240301.218094 and 20240315.221711, and container images created between 24 February 2024 and 28 March 2024 [5]. Exploitation of the backdoor via OpenSSH is however not possible.

Solutions and workarounds

We consider the chances low that organisations run one of the Linux distributions mentioned before on a system that is also exposing its SSH service towards the internet. If this is however the case, it is of upmost importance to isolate the system as soon as possible. Next, follow the instructions as given by the respective vendor.

Detection

To verify if a system is using a backdoored version of the library, the developers of Kali have created a script that will allow you to quickly determine this [6]. If you’re unsure whether or not a backdoored version of the library is in use on a system, we advise you to run this script.

Due to the way the backdoor is built, we do not know of any network scanner that is able to determine impacted systems by running a network scan.

More information

[1] https://www.kali.org/blog/about-the-xz-backdoor/

[2] https://news.opensuse.org/2024/03/29/xz-backdoor/

[3] https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

[4] https://lists.debian.org/debian-security-announce/2024/msg00057.html

[5] https://archlinux.org/news/the-xz-package-has-been-backdoored/

[6] https://www.kali.org/blog/xz-backdoor-getting-started/

[7] https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

[8] https://boehs.org/node/everything-i-know-about-the-xz-backdoor

[9] https://www.tenable.com/blog/frequently-asked-questions-cve-2024-3094-supply-chain-backdoor-in-xz-utils

[10] https://access.redhat.com/security/cve/CVE-2024-3094

[11] https://tukaani.org/xz-backdoor/

[12] https://blog.qualys.com/vulnerabilities-threat-research/2024/03/29/xz-utils-sshd-backdoor

[13] https://linuxiac.com/the-upstream-xz-tarballs-have-been-backdoored/

[14] https://github.com/Midar/xz-backdoor-documentation/wiki

[15] https://tweakers.net/nieuws/220364/5-vragen-over-de-malware-in-compressietool-xz-was-dit-een-achterdeur.html

[16] https://www.rapid7.com/blog/post/2024/04/01/etr-backdoored-xz-utils-cve-2024-3094/

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Critical vulnerabilities in FortiOS/FortiProxy Captive Portal

For English, see below.

Beschrijving

Er bevinden zich twee ernstige kwetsbaarheden (CVE-2023-42789 en CVE-2023-42790) in de Captive Portal van FortiOS en FortiProxy die kwaadwillenden kunnen misbruiken voor het uitvoeren van willekeurige code. Deze kwetsbaarheden werden vorige maand al verholpen met nieuwe (FortiOS) updates waarover wij eerder al berichtten vanwege een ernstige kwetsbaarheid in sslvpnd. De kans is dan ook aanwezig dat Fortinet-devices niet kwetsbaar zijn vanwege de geïnstalleerde updates.

Voor succesvol misbruik van de kwetsbaarheden, moet aan de volgende voorwaarden zijn voldaan:

  • Het device is niet voorzien zijn van de eerder uitgebrachte updates;
  • De Captive Portal is op het device geactiveerd;
  • De Captive Portal maakt gebruik van form-based authenticatie;
  • De aanvaller beschikt over (HTTP-)toegang tot de Captive Portal.

De kwetsbaarheden zijn door Fortinet zelf ontdekt. Er is nog geen exploitcode of actieve uitbuiting bekend.

Kwetsbare versies

De onderstaande versies van FortiOS en FortiProxy bevatten de beschreven kwetsbaarheden:

  • FortiOS versie 7.4.0 t/m 7.4.1
  • FortiOS versie 7.2.0 t/m 7.2.5
  • FortiOS versie 7.0.0 t/m 7.0.12
  • FortiOS versie 6.4.0 t/m 6.4.14
  • FortiOS versie 6.2.0 t/m 6.2.15
  • FortiProxy versie 7.4.0
  • FortiProxy versie 7.2.0 t/m 7.2.6
  • FortiProxy versie 7.0.0 t/m 7.0.12
  • FortiProxy versie 2.0.0 t/m 2.0.13

Oplossingen en tijdelijke mitigaties

Wij raden aan de door Fortinet beschikbare updates zo snel mogelijk te installeren, mocht dit nog niet gedaan zijn. Maak gebruik van één van de onderstaande versies van FortiOS of FortiProxy:

  • FortiOS versie 7.4.3 of hoger
  • FortiOS versie 7.2.7 of hoger
  • FortiOS versie 7.0.14 of hoger
  • FortiOS versie 6.4.15 of hoger
  • FortiOS versie 6.2.16 of hoger
  • FortiProxy versie 7.4.1 of hoger
  • FortiProxy versie 7.2.7 of hoger
  • FortiProxy versie 7.0.13 of hoger
  • FortiProxy versie 2.0.14 of hoger

Meer informatie

Managed Security Services (MSS) klanten

Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden.

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

Two critical vulnerabilities (CVE-2023-42789 and CVE-2023-42790) were reported in the Captive Portal of FortiOS and FortiProxy that allow malicious actors to execute arbitrary code on vulnerable devices. These vulnerabilities were already addressed last month with new updates for FortiOS. Pinewood reported about these updates at that time, due to a serious vulnerability in sslvpnd that these updates fixed. It is therefore possible that Fortinet devices are not vulnerable due to the installed updates.

For successful exploitation of the vulnerabilities, the following conditions must be met:

  • The device has not been updated with the aforementioned updates from February 2024;
  • The Captive Portal is activated on the device;
  • The Captive Portal uses form-based authentication;
  • The attacker has (HTTP) access to the Captive Portal.

The vulnerabilities were internally discovered by Fortinet. There is no exploit code or active exploitation known yet.

Vulnerable versions

The following versions of FortiOS and FortiProxy are vulnerable:

  • FortiOS version 7.4.0 to 7.4.1
  • FortiOS version 7.2.0 to 7.2.5
  • FortiOS version 7.0.0 to 7.0.12
  • FortiOS version 6.4.0 to 6.4.14
  • FortiOS version 6.2.0 to 6.2.15
  • FortiProxy version 7.4.0
  • FortiProxy version 7.2.0 to 7.2.6
  • FortiProxy version 7.0.0 to 7.0.12
  • FortiProxy version 2.0.0 to 2.0.13

Solutions and workarounds

We recommend installing the updates available from Fortinet as soon as possible if this has not already been done. Use one of the following versions of FortiOS or FortiProxy:

  • FortiOS version 7.4.3 or above
  • FortiOS version 7.2.7 or above
  • FortiOS version 7.0.14 or above
  • FortiOS version 6.4.15 or above
  • FortiOS version 6.2.16 or above
  • FortiProxy version 7.4.1 or above
  • FortiProxy version 7.2.7 or above
  • FortiProxy version 7.0.13 or above
  • FortiProxy version 2.0.14 or above

More information

Managed Security Services (MSS) customers

If you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from these vulnerabilities.

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Training NIS 2 Directive Lead Implementer

De training Certified NIS 2 Directive Lead Implementer stelt deelnemers in staat de benodigde competenties te verwerven om organisaties te ondersteunen bij het effectief plannen, implementeren, beheren, monitoren en onderhouden van een cyberbeveiligingsprogramma dat voldoet aan de eisen van de NIS 2-richtlijn.

Het belang van cyberbeveiligingsmaatregelen kan niet genoeg worden benadrukt, aangezien organisaties steeds vaker worden geconfronteerd met allerlei soorten cyberaanvallen. De NIS 2-richtlijn is een wet die is ontworpen om de cyberbeveiligingshouding van kritieke infrastructuursectoren te versterken, waaronder energie, transport, gezondheidszorg en digitale diensten.

Na het succesvol afronden van deze training bent u  een vertrouwde cyberbeveiligingsprofessional die over de expertise beschikt om door het complexe landschap van kritieke cyberbeveiligingsinfrastructuur te navigeren en bij te dragen aan de weerbaarheid van uw organisatie en de samenleving als geheel.

Pentest

Voor wie?

  • Cyberbeveiligingsprofessionals die een grondig begrip willen krijgen van de vereisten van de NIS 2-richtlijn en praktische strategieën willen leren om grote cyberbeveiligingsmaatregelen te implementeren;
  • IT-managers en -professionals die inzicht willen krijgen in het implementeren van veilige systemen en de veerkracht van kritieke systemen willen verbeteren;
  • Overheidsfunctionarissen en regelgevende instanties die verantwoordelijk zijn voor de handhaving van de NIS 2-richtlijn.

Na deze training bent u in staat om…

  1. De fundamentele concepten van de NIS 2-richtlijn en de bijbehorende vereisten uit te leggen;
  2. Een grondig begrip te krijgen van de principes, strategieën, methodologieën en hulpmiddelen die nodig zijn voor het implementeren en efficiënt beheren van een cyberbeveiligingsprogramma in overeenstemming met de NIS 2-richtlijn;
  3. Te leren hoe de vereisten van de NIS 2-richtlijn moeten worden geïnterpreteerd en geïmplementeerd in de specifieke context van een organisatie;
  4. De implementatie van de vereisten van de NIS 2-richtlijn te initiëren en te plannen;
  5. De benodigde kennis te verwerven om een organisatie te ondersteunen bij het effectief plannen, implementeren, beheren, bewaken en onderhouden van een cyberbeveiligingsprogramma in overeenstemming met de NIS 2-richtlijn.

Datum: 17, 18, 24 en 25 oktober 2024, 09:00 – 16:00 uur.

Waar: Delftechpark 35, Delft

Prijs: € 2495-, per deelnemer (excl. BTW). Uw inschrijving is definitief na ontvangst van de betaling.

Aanmelden:

De training Certified NIS 2 Directive Lead Implementer stelt deelnemers in staat de benodigde competenties te verwerven om organisaties te ondersteunen bij het effectief plannen, implementeren, beheren, monitoren en onderhouden van een cyberbeveiligingsprogramma dat voldoet aan de eisen van de NIS 2-richtlijn.

"*" geeft vereiste velden aan

Mijn inschrijving is*

Inclusief:

  • materiaal
  • lunch
  • examen
  • examenvoucher

Extra informatie

Gebruik van eigen laptop

Wilt u meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Eric van Loon

CISO & Manager Security Consultancy at Pinewood | MSc | BEng | CISA | CISM | CISSP | CCSP | CIPP/E

eric.vanloon@pinewood.nl

Training NIS 2 Directive Lead Implementer

De training Certified NIS 2 Directive Lead Implementer stelt deelnemers in staat de benodigde competenties te verwerven om organisaties te ondersteunen bij het effectief plannen, implementeren, beheren, monitoren en onderhouden van een cyberbeveiligingsprogramma dat voldoet aan de eisen van de NIS 2-richtlijn.

Het belang van cyberbeveiligingsmaatregelen kan niet genoeg worden benadrukt, aangezien organisaties steeds vaker worden geconfronteerd met allerlei soorten cyberaanvallen. De NIS 2-richtlijn is een wet die is ontworpen om de cyberbeveiligingshouding van kritieke infrastructuursectoren te versterken, waaronder energie, transport, gezondheidszorg en digitale diensten.

Na het succesvol afronden van deze training bent u  een vertrouwde cyberbeveiligingsprofessional die over de expertise beschikt om door het complexe landschap van kritieke cyberbeveiligingsinfrastructuur te navigeren en bij te dragen aan de weerbaarheid van uw organisatie en de samenleving als geheel.

Pentest

Voor wie?

  • Cyberbeveiligingsprofessionals die een grondig begrip willen krijgen van de vereisten van de NIS 2-richtlijn en praktische strategieën willen leren om grote cyberbeveiligingsmaatregelen te implementeren;
  • IT-managers en -professionals die inzicht willen krijgen in het implementeren van veilige systemen en de veerkracht van kritieke systemen willen verbeteren;
  • Overheidsfunctionarissen en regelgevende instanties die verantwoordelijk zijn voor de handhaving van de NIS 2-richtlijn.

Na deze training bent u in staat om…

  1. De fundamentele concepten van de NIS 2-richtlijn en de bijbehorende vereisten uit te leggen;
  2. Een grondig begrip te krijgen van de principes, strategieën, methodologieën en hulpmiddelen die nodig zijn voor het implementeren en efficiënt beheren van een cyberbeveiligingsprogramma in overeenstemming met de NIS 2-richtlijn;
  3. Te leren hoe de vereisten van de NIS 2-richtlijn moeten worden geïnterpreteerd en geïmplementeerd in de specifieke context van een organisatie;
  4. De implementatie van de vereisten van de NIS 2-richtlijn te initiëren en te plannen;
  5. De benodigde kennis te verwerven om een organisatie te ondersteunen bij het effectief plannen, implementeren, beheren, bewaken en onderhouden van een cyberbeveiligingsprogramma in overeenstemming met de NIS 2-richtlijn.

Datum: 5, 6, 12 en 13 september 2024, 09:00 – 16:00 uur.

Waar: Delftechpark 35, Delft

Prijs: € 2495-, per deelnemer (excl. BTW). Uw inschrijving is definitief na ontvangst van de betaling.

Aanmelden:

De training Certified NIS 2 Directive Lead Implementer stelt deelnemers in staat de benodigde competenties te verwerven om organisaties te ondersteunen bij het effectief plannen, implementeren, beheren, monitoren en onderhouden van een cyberbeveiligingsprogramma dat voldoet aan de eisen van de NIS 2-richtlijn.

"*" geeft vereiste velden aan

Mijn inschrijving is*

Inclusief:

  • materiaal
  • lunch
  • examen
  • examenvoucher

Extra informatie

Gebruik van eigen laptop

Wilt u meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Eric van Loon

CISO & Manager Security Consultancy at Pinewood | MSc | BEng | CISA | CISM | CISSP | CCSP | CIPP/E

eric.vanloon@pinewood.nl