Update

Het Cybersecurity Dreigingsbeeld en advies rapport is uit! Download hem hier.

Lees verder

Pinewood Security Bulletin – VMWare advisory

VMWare heeft updates uitgebracht om de kwetsbaarheden  in meerdere VMWare producten te verhelpen. In dit bulletin meer informatie over deze kwetsbaarheden en de updates.

Beschrijving

Ongeauthenticeerde kwaadwillende kunnen deze kwetsbaarheden misbruiken voor het veroorzaken van de volgende categorieën schade:

  • Cross-Site Scripting (XSS);
  • Omzeilen van authenticatie;
  • (Remote) code execution (Administrator/Root rechten);
  • (Remote) code execution (gebruikersrechten);
  • Toegang tot gevoelige informatie;
  • Verkrijgen van verhoogde rechten.

De meest kritische kwetsbaarheden betreffen CVE-2022-31656 (CVSS 9.8) en CVE-2022-31659 (CVSS 8.0). Deze kwetsbaarheden zijn door het NCSC geclassificeerd als HIGH/HIGH (Kans/impact). Op korte termijn wordt voor bovenstaande kwetsbaarheden een publieke Proof-Of-Conceptcode verwacht. De security onderzoeker die deze kwetsbaarheid heeft geïdentificeerd is van plan om de Proof-Of-Conceptcode binnenkort publiekelijk te maken. Om deze reden verwacht Pinewood dat deze kwetsbaarheden op de korte termijn misbruikt zullen worden.

Kwetsbare versies

 Onderstaande VMWare producten zijn getroffen door de eerdergenoemde kwetsbaarheden:

  • VMware Workspace ONE Access (Access)
    • Getroffen versies: 21.08.0.1, 21.08.0.0
  • VMware Workspace ONE Access Connector (Access Connector)
    • Getroffen versies: 22.05, 21.08.0.1, 21.08.0.0
  • VMware Identity Manager (vIDM)
    • Getroffen versies: 3.3.6, 3.3.5, 3.3.4
  • VMware Identity Manager Connector (vIDM Connector)
    • Getroffen versies: 3.3.6, 3.3.5, 3.3.4, 19.03.0.1
  • VMware vRealize Automation (vRA)
    • Getroffen versies: 8.x, 7.6
  • VMware Cloud Foundation
    • Getroffen versies: 4.4.x, 4.3.x, 4.2.x
  • vRealize Suite Lifecycle Manager
    • Getroffen versies: 8.x

Oplossing en workarounds

VMWare heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Voor meer informatie omtrent het patchen en de kwetsbare versies, zie [Link] (VMWare advisory) en [Link] (VMWare patch instructions)

VMware heeft mitigerende maatregelen gepubliceerd om het risico van misbruik te beperken indien updates (nog) niet kunnen worden ingezet. Voor meer informatie, zie [Link] (VMWare patch instructions) en [Link] (VMWare FAQ)

Meer informatie

Voor de kwetsbaarheden CVE-2022-31656 en CVE-2022-31659 wordt op korte termijn een publieke Proof-Of-Conceptcode verwacht. De security researcher die deze kwetsbaarheid heeft geïdentificeerd zal binnenkort de Proof-Of-Conceptcode online publiceren. Daarom worden deze kwetsbaarheden ingeschaald als HIGH/HIGH.

Bronnen:

Vragen

Heeft u nog vragen  over  dit issue dan  kunt u contact opnemen met de Pinewood Servicedesk (015 750 36 33) of via e-mail soc@pinewood.nl.

 

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Fortinet Expert Partner 2022

Afgelopen week heeft Sebastiaan Kors met trots wederom de “Fortnet Expert Partner Award 2022” in ontvangst genomen. Deze award werd uitgereikt door Jaco van der Sman, Channel Account Manager Fortinet. Ons partnership gaat verder dan een fijne samenwerking en de verkoop van alle Fortinet producten. De experts van Pinewood zijn volledig commited en doen, naast het volgen van veel trainingen, ook mee aan challenges in zowel Europa als in Amerika.  Kennis vergroten en verdiepen is één van de belangrijkste speerpunten van Pinewood. Deze award bewijst nog maar eens dat we als Fortinet Expert partner veel expertise in huis hebben en hiermee onze klanten kwaliteit en kennis kunnen bieden.

Heeft u advies of ondersteuning nodig, neemt u dan contact met ons op. Wij helpen u graag verder.

 

Cyber360 event

Op donderdag 16 juni jl. heeft het security cluster (Pinewood en DataExpert) van Interstellar het event Cyber360 georganiseerd. Vanuit een 360 graden benadering hebben we deze middag laten zien hoe maatregelen rondom de vier stappen Prediction, Prevention, Detection (Security Operations Center) en Resonse (Incident Response) samenwerken om organisaties veiliger te maken.

Onze key-note spreker deze dag was Xander Koppelmans die een heel indrukwekkend en persoonlijk verhaal heeft verteld over hoe het is om zelf gehackt te worden.

Het was een geslaagde dag die vraagt om een vervolg.

Houd onze website in de gaten voor meer informatie en een blog over deze 360 graden benadering.

 

 

Pinewood Security Bulletin – Update kwetsbaarheid in Java Spring Framework (Spring4Shell, CVE-2022-22965)

Pinewood Security Bulletin – Update kwetsbaarheid in Java Spring Framework (Spring4Shell, CVE-2022-22965)

Update

Het NCSC heeft een overzicht gepubliceerd met kwetsbare software. Pinewood adviseert om dit overzicht in de gaten te houden en te controleren of er gebruik gemaakt wordt van deze kwetsbare software. Als dat zo is, dan moet het advies van de leverancier opgevolgd worden. Het overzicht, dat nog continue bijgewerkt wordt, is te vinden op https://github.com/NCSC-NL/spring4shell/blob/main/software/README.md .

 Samenvatting

Door een kwetsbaarheid in het Java Spring Core Framework (<= versie 5.3.17) kan op afstand code uitgevoerd worden op een server (Remote Code Execution). Het Spring Framework wordt als basis gebruikt binnen andere software. Er is nog geen compleet overzicht van alle software waarin deze kwetsbaarheid zit. Pinewood adviseert om te inventariseren welke publiek bereikbare (web)applicaties gebruik maken van Apache Tomcat. Daarnaast is het advies om nieuwsberichten van leveranciers in de gaten te houden. Het overzicht van het NCSC met kwetsbare software kan hierbij helpen.

Beschrijving

Door een kwetsbaarheid in Java Spring Core Framework (<= versie 5.3.17) kan op afstand code uitgevoerd worden op een server (Remote Code Execution). Specifiek gaat het om een bypass van een eerdere kwetsbaarheid (CVE-2010-1622) in Spring MVC en Spring WebFlux applicaties. De manier waarop de applicatie gegevensinvoer verwerkt kan misbruikt worden om andere gegevens binnen de applicatie te overschrijven. Uiteindelijk kan hierdoor code worden uitgevoerd binnen de applicatie. Deze nieuwe kwetsbaarheid heeft het CVE-nummer CVE-2022-22965 gekregen.

De ontwikkelaars hebben aangegeven dat aan verschillende randvoorwaarden voldaan moet zijn, voordat deze kwetsbaarheid misbruikt kan worden. Het gaat om de volgende voorwaarden:

  • De applicatie maakt gebruik van JDK 9+
  • De applicatie is verpakt (packaged) als WAR
  • De applicatie gebruikt Apache Tomcat als servlet container
  • De applicatie heeft een afhankelijkheid (dependency) op spring-mvc of spring-webflux.

Applicaties op basis van Spring Boot met ingebouwde Apache Tomcat installatie zijn door bovenstaande randvoorwaarden niet kwetsbaar.

Tijdlijn en verwarring andere kwetsbaarheden

Op dinsdag 29 maart 2022 werd publiekelijk bekend gemaakt dat er een Remote Code Execution kwetsbaarheid in Java Spring Framework aanwezig is. Informatie over deze kwetsbaarheid werd echter vrij snel weer verwijderd en bevatte ook niet alle details om dit te reproduceren. De ontwikkelaars van het Spring Framework waren niet op de hoogte van deze kwetsbaarheid. Omdat er op dezelfde dag een andere kwetsbaarheid in Java Spring Cloud Function (CVE-2022-22963) werd gevonden, was het in eerste instantie onduidelijk of het ging om één en dezelfde kwetsbaarheid. Op woensdag 30 en donderdag 31 maart werd pas echt duidelijk dat het ging om twee verschillende kwetsbaarheden. Op donderdag zijn twee nieuwe versies van Java Spring Framework gepubliceerd die de ‘Spring4Shell’-kwetsbaarheid verhelpen. Tegelijkertijd zijn er al verschillende scripts gepubliceerd waarmee de kwetsbaarheid misbruikt kan worden.

Gerelateerd aan de ‘Spring4Shell’ en ‘Spring Cloud Function’ kwetsbaarheden, was er speculatie over een derde ‘deserialization’ kwetsbaarheid. De ontwikkelaars hebben aangegeven dat dit geen kwetsbaarheid betreft.

 Oplossing en workarounds

De kwetsbaarheid is opgelost in versies 5.3.18 en 5.2.20 van het Spring Framework. Als workaround kan de kwetsbare code worden aangepast om misbruik te voorkomen. Op de website spring.io is uitgelegd hoe deze workaround werkt. Beide oplossingen vereisen een aanpassing van de applicatie. Voor zover bekend zijn er geen instellingen die aangepast kunnen worden om deze kwetsbaarheid te verhelpen.

Advies

Pinewood adviseert om te inventariseren welke publiek bereikbare (web)applicaties gebruik maken van Apache Tomcat. Volg berichten van leveranciers of neem contact met deze op om na te gaan of software kwetsbaar is voor Spring4Shell. Een overzicht van publieke berichten is te vinden op https://github.com/NCSC-NL/spring4shell/blob/main/software/README.md.

De kwetsbaarheid is niet alleen vanaf het internet te misbruiken. Blijf daarom in de gaten houden of de kwetsbaarheid ook niet-publiek bereikbare applicaties betreft. Pinewood zal nieuwe security bulletins versturen zodra bekend wordt welke software getroffen is door deze kwetsbaarheid.

Monitoring in het Security Operations Center

In het Security Operations Center van Pinewood worden de ontwikkelingen rondom deze kwetsbaarheid op de voet gevolgd. Er wordt nog gewerkt aan specifieke detectiemethoden voor deze kwetsbaarheid. Algemene indicatoren van misbruik worden uiteraard in de gaten gehouden.

Meer informatie

Vragen

Voor vragen m.b.t. dit issue kunt u contact opnemen met Pinewood SOC (015 750 13 31) of via e-mail soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Kwetsbaarheid in Java Spring Framework (Spring4Shell, CVE-2022-22965)

Pinewood Security Bulletin – Kwetsbaarheid in Java Spring Framework (Spring4Shell, CVE-2022-22965)

Samenvatting

Door een kwetsbaarheid in het Java Spring Core Framework (<= versie 5.3.17) kan op afstand code uitgevoerd worden op een server (Remote Code Execution). Het Spring Framework wordt als basis gebruikt binnen andere software. Op dit moment is nog onbekend welke software allemaal gebruik maakt van dit framework. Pinewood adviseert om te inventariseren welke publiek bereikbare (web)applicaties gebruik maken van Apache Tomcat. Ook adviseert Pinewood om contact op te nemen met de leverancier om na te gaan of de applicatie kwetsbaar is voor de Spring4Shell-kwetsbaarheid.

Beschrijving

Door een kwetsbaarheid in Java Spring Core Framework (<= versie 5.3.17) kan op afstand code uitgevoerd worden op een server (Remote Code Execution). Specifiek gaat het om een bypass van een eerdere kwetsbaarheid (CVE-2010-1622) in Spring MVC en Spring WebFlux applicaties. De manier waarop de applicatie gegevensinvoer verwerkt kan misbruikt worden om andere gegevens binnen de applicatie te overschrijven. Uiteindelijk kan hierdoor code worden uitgevoerd binnen de applicatie. Deze nieuwe kwetsbaarheid heeft het CVE-nummer CVE-2022-22965 gekregen.

De ontwikkelaars hebben aangegeven dat aan verschillende randvoorwaarden voldaan moet zijn, voordat deze kwetsbaarheid misbruikt kan worden. Het gaat om de volgende voorwaarden:

  • De applicatie maakt gebruik van JDK 9+
  • De applicatie is verpakt (packaged) als WAR
  • De applicatie gebruikt Apache Tomcat als servlet container
  • De applicatie heeft een afhankelijkheid (dependency) op spring-mvc of spring-webflux.

Applicaties op basis van Spring Boot met ingebouwde Apache Tomcat installatie zijn door bovenstaande randvoorwaarden NIET kwetsbaar.

Op dit moment is nog onbekend welke software allemaal gebruik maakt van Java Spring Core Framework en of deze kwetsbaar is voor de Spring4Shell-kwetsbaarheid. Wanneer er meer bekend is over de software die dit betreft, zal een nieuw security bulletin verstuurd worden.

Tijdlijn en verwarring andere kwetsbaarheden

Op dinsdag 29 maart 2022 werd publiek bekend gemaakt dat er een Remote Code Execution kwetsbaarheid in Java Spring Framework aanwezig is. Informatie over deze kwetsbaarheid werd echter vrij snel weer verwijderd en bevatte ook niet alle details om dit te reproduceren. De ontwikkelaars van het Spring Framework waren niet op de hoogte van deze kwetsbaarheid. Omdat er op dezelfde dag een andere kwetsbaarheid in Java Spring Cloud Function (CVE-2022-22963) werd gevonden, was het in eerste instantie onduidelijk of het ging om één en dezelfde kwetsbaarheid. Op woensdag 30 en donderdag 31 maart werd pas echt duidelijk dat het ging om twee verschillende kwetsbaarheden. Op donderdag zijn twee nieuwe versies van Java Spring Framework gepubliceerd die de ‘Spring4Shell’-kwetsbaarheid verhelpen. Tegelijkertijd zijn er al verschillende scripts gepubliceerd waarmee de kwetsbaarheid misbruikt kan worden.

Gerelateerd aan de ‘Spring4Shell’ en ‘Spring Cloud Function’ kwetsbaarheden, was er speculatie over een derde ‘deserialization’ kwetsbaarheid. De ontwikkelaars hebben aangegeven dat dit geen kwetsbaarheid betreft.

Oplossing en workarounds

De kwetsbaarheid is opgelost in versies 5.3.18 en 5.2.20 van het Spring Framework. Als workaround kan de kwetsbare code worden aangepast om misbruik te voorkomen. Op de website spring.io is uitgelegd hoe deze workaround werkt. Beide oplossingen vereisen een aanpassing van de applicatie. Voor zover bekend zijn er geen instellingen die aangepast kunnen worden om deze kwetsbaarheid te verhelpen.

Advies

Pinewood adviseert om te inventariseren welke publiek bereikbare (web)applicaties gebruik maken van Apache Tomcat. Neem vervolgens contact op met de leverancier om na te gaan of de applicatie kwetsbaar is voor de Spring4Shell kwetsbaarheid.

De kwetsbaarheid is niet alleen vanaf het internet te misbruiken. Blijf daarom in de gaten houden of de kwetsbaarheid ook niet-publiek bereikbare applicaties betreft. Pinewood zal nieuwe security bulletins versturen zodra bekend wordt welke software getroffen is door deze kwetsbaarheid.

Monitoring in het Security Operations Center

In het Security Operations Center van Pinewood worden de ontwikkelingen rondom deze kwetsbaarheid op de voet gevolgd. Op dit moment zijn er nog geen scans of aanvallen te zien. Er wordt nog gewerkt aan specifieke detectiemethoden voor deze kwetsbaarheid. Algemene detectiemethoden en indicatoren van misbruik worden standaard in de gaten gehouden.

Meer informatie

Vragen

Voor vragen met betrekking tot dit issue, kunt u contact opnemen met Pinewood SOC (015 750 13 31) of via e-mail soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Rebranding Pinewood & website

Pinewood is in een nieuw jasje gestoken. Passend bij onze ontwikkeling en ambitie. Met deze rebranding kunnen wij onze aangescherpte propositie nog beter communiceren.

We blijven doen wat we goed kunnen. Organisaties weerbaarder maken tegen digitale risico’s, waarbij wij altijd uitgaan van de pijlers, Prediction, Prevention, Detection en Response.
Door onze nieuwe ontwikkelingen kunnen we deze pijlers nog beter met elkaar in balans brengen. En zorgen we zo voor de best mogelijke beveiligingsstrategie voor uw organisatie.

De nieuwe huisstijl is zoals wij zijn. Duidelijk, modern en no-nonsense.

Neem even de tijd om onze nieuwe website  te bekijken. Er is veel informatie te vinden over ons SOC en onze diensten in de vorm van o.a.  video’s en whitepapers.

 

 

Sebastiaan Kors

CEO

015-251 36 36

sebastiaan.kors@pinewood.nl

Het Pinewood Cybersecurity Dreigingsbeeld & Adviesrapport NL is uit!

Ons eerste Cybersecurity Dreigingsbeeld & Adviesrapport NL uit!

In dit rapport delen wij onze kijk op de aanpak van cybersecurity, maar ook die van gebruikersorganisaties en experts om ons heen. De scherpe blik en praktijkervaring op de huidige status van cybercrime en hun vaak interessante en gevarieerde visies op de bestrijding ervan, verrijkt ons eigen inzicht. Samen delen we best practices en tips waarmee u als lezer direct aan de slag kunt. In die zin is dit dreigingsbeeld dan ook zeker niet bedoeld om alleen te waarschuwen, laat staan angst aan te jagen. Het is nadrukkelijk óók een middel om samen tot passende oplossingen te komen om uw organisatie veiliger te maken.

Bent u geïnteresseerd?

Download now

 

Sebastiaan Kors

CEO

015-251 36 36

sebastiaan.kors@pinewood.nl

Webinar: “Cyberweerbaarheid omtrent situatie Oekraïne”

Op Donderdag 10 maart 2022 hielden wij een webinar

Wij krijgen momenteel veel vragen van onze klanten over eventueel extra te nemen cyberweerbaarheidsmaatregelen door de situatie in Oekraïne. Op dit moment zijn er weinig concrete aanwijzingen in Nederland voor digitale aanvallen in relatie tot de crisis in Oekraïne, maar dit wil niet zeggen dat dit ook niet gebeurt. Mede op advies van het NCSC is een verhoogde alertheid daarom op zijn plaats. Maar wat betekent dit? Waar moet u rekening mee houden en wat kunt u doen om uw cyberweerbaarheid te vergroten in dergelijke situaties?

In dit webinar schetst cybersecurity specialist Pinewood, een beeld van typische incidenten tijdens een crisis, mogelijke intenties aanvallers en geeft Edwin advies over de maatregelen die u op korte termijn kunt nemen om uw organisatie hiertegen te beschermen.

Natascha Groen

Marketing & Communicatie

06-13381504

natascha.groen@pinewood.nl

SSL/TLS deep-dive (technische) training

Heeft u altijd al meer willen weten over SSL/TLS? Tijdens deze training leert u meer over de technische achtergrond van SSL en krijgt u praktische handvatten voor het veilig configureren van https. Hoe is de SSL certificering opgebouwd en hoe zorg je voor een beveiligde verbinding?

Deze training is bestemd voor iedereen met een technische achtergrond zoals systeem-, netwerk- en applicatiebeheerders. Basiskennis van TCP/IP en HTTP is een pré, maar niet noodzakelijk.

Onderwerpen die aan bod komen zijn o.a.:

  • Basisbegrippen encryptie (symmetrisch, asymmetrisch, elliptic curve);
  • Digitale handtekeningen, message digest, hash;
  • Certificaten, certificate authorities, chain of trust, soorten certificaten en werken met certificaten;
  • Diverse algoritmes: RSA, Diffie-Hellman;
  • Cipher suites;
  • De SSL/TLS handshake;
  • SSL/TLS kwetsbaarheden en advies geschikte cipher suites;
  • Certificate revocation, CRL, OCSP, OCSP-stapling;
  • HTTP Strict Transport Security (HSTS).

Wanneer: Nader te bepalen.

Een paar reacties van klanten die de training reeds gevolgd hebben.:
“Meer inzicht gekregen in SSL/TLS”;
“Gemotiveerde docent”;
• “Zeer informatief een hoop dingen vielen op zijn plaats”;
• “Duidelijke workshop met voldoende ruimte voor vragen”;
• “Zeer compleet, zeer nuttig in het troubleshooten bij SSL issues”;“Enthousiast gebracht en erg leerzaam”.

U kunt zich inschrijven voor deze training of via Natascha Groen onder vermelding van SSL/TLS training. De kosten voor deze training bedragen € 750,00 excl. btw p.p. (inclusief cursusmateriaal en lunch).

Heeft u vragen over deze training, neemt u dan contact met ons op. Wij helpen u graag verder.

Natascha Groen

Marketing & Communicatie

06-13381504

natascha.groen@pinewood.nl

Pinewood Lunch & Learn “Hacker versus SOC-Analist”

Omschrijving:

Leer meer over hacken, maar ook over detectie. Tijdens deze sessie leert u meer over hoe een hacker denkt en werkt. Aan de hand van praktijkcases gepresenteerd door één van onze Ethical Hackers, krijgt u meer inzicht in het brein van een hacker en zijn technieken; hoe achterhaalt hij waardevolle informatie? Daarnaast laten wij u zien hoe we de indringers en aanvallen monitoren en detecteren in ons Security Operations Center. Gert van der Lee, Senior SOC Analist, laat u aan de hand van praktijkvoorbeelden zien hoe een SOC-Analist te werk gaat om de indringers steeds een stap voor te blijven.

Doelgroep:
Deze training is bestemd voor iedereen met een technische achtergrond zoals systeem-, netwerk- en applicatiebeheerders, maar ook voor teamleiders of managers die meer over de praktijk willen leren.

Een paar reacties van klanten die de Lunch & Learn reeds gevolgd hebben.:

  • Leerzame Lunch & Learn; volledig en zeer nuttig
  • Leuk om te ervaren hoe de denkwijze van de Ethical Hacker en de SOC-Analist compleet verschillend is en hoe dat samen viel in de twee presentaties. Goed op elkaar afgestemd.
  • Praktijkvoorbeelden heel duidelijk en geven veel inzicht.

Wanneer:
Nader te bepalen. Deze training kan ook op maat gemaakt worden en bij u op locatie plaatsvinden. Op basis van uw behoefte en wensen wordt de training ingevuld.

Inschrijven:
U kunt zich alvast inschrijven voor de Lunch & Learn via Natascha Groen onder vermelding van Pinewood Lunch & Learn.

Kosten:
Deelname aan de Lunch & Learn is kosteloos. Vraag een offerte aan voor een op maat gemaakte training via info@pinewood.nl .

 

Natascha Groen

Marketing & Communicatie

06-13381504

natascha.groen@pinewood.nl