Update

Het Cybersecurity Dreigingsbeeld en advies rapport is uit! Download hem hier.

Lees verder

Pinewood Security Bulletin – Kwetsbaarheid in Apache Commons Text

inewood Security Bulletin – Kwetsbaarheid in Apache Commons Text

 For English, see below

Beschrijving

Er is een kwetsbaarheid (CVE-2022-42889) ontdekt in Apache Commons Tekst. De kwetsbaarheid stelt een ongeauthenticeerde kwaadwillende op afstand mogelijk in staat om willekeurig code uit te voeren.

De kwetsbaarheid bevindt zich in de functionaliteit verantwoordelijk voor string interpolatie. Drie typen filters kunnen hier mogelijk misbruikt worden, namelijk “script”, “dns” en “url”. Een Proof-Of-Concept code is gepubliceerd die aantoont hoe de kwetsbare functionaliteit kan worden misbruikt.

Hoewel de kwetsbaarheid overeenkomsten vertoont met een soortgelijke kwetsbaarheid in Apache Log4j (Log4Shell), is het aanvalsoppervlak beperkter vanwege de specifieke toepassing van Commons Text ten opzichte van Log4j.

 Kwetsbare versies

 De kwetsbaarheid is aanwezig in de versies 1.5 t/m 1.9.

Tevens geven beveiligingsonderzoekers aan dat de kwetsbaarheid niet te misbruiken is wanneer de applicatie gebruikt maakt van (Open)JDK versie 15 of nieuwer. Echter, het NCSC heeft dit nog niet zelf kunnen bevestigen.

Oplossing en workarounds

 De Apache Foundation heeft updates uitgebracht om de kwetsbaarheid te verhelpen in Commons Tekst 1.10.0.

Meer informatie

https://www.darkreading.com/application-security/researchers-keep-a-wary-eye-on-critical-new-vulnerability-in-apache-commons-text

https://www.rapid7.com/blog/post/2022/10/17/cve-2022-42889-keep-calm-and-stop-saying-4shell/

Vragen

Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 750 36 33) of via e-mail soc@pinewood.nl.

=====ENGLISH VERSION========

Description

A vulnerability (CVE-2022-42889) has been discovered in Apache Commons Text. The vulnerability potentially allows an unauthenticated malicious person to perform Remote Code Execution.

The vulnerability is in the functionality responsible for string interpolation. Three types of filters could potentially be abused here: “script”, “dns” and “url”. A Proof-Of-Concept code has been published that shows how the vulnerable functionality can be exploited.

Although the vulnerability has similarities to a similar vulnerability in Apache Log4j (Log4Shell), the attack surface is more limited due to the specific application of Commons Text compared to Log4j.

 Vulnerable versions

 The vulnerability is present in versions 1.5 to 1.9.

Also, security researchers indicate that the vulnerability cannot be exploited when the application uses (Open)JDK version 15 or newer. However, the NCSC has not yet been able to confirm this.

 Solutions and workarounds

The Apache Foundation has released updates to fix the vulnerability in Commons Text 1.10.0.

Extra info

https://www.darkreading.com/application-security/researchers-keep-a-wary-eye-on-critical-new-vulnerability-in-apache-commons-text

https://www.rapid7.com/blog/post/2022/10/17/cve-2022-42889-keep-calm-and-stop-saying-4shell/

Questions

For questions related to these vulnerabilitie(s), please contact the Pinewood Servicedesk (015 750 36 33) or via e-mail soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

UPDATE: Pinewood Security Bulletin – Microsoft Exchange 0-Day Kwetsbaarheden

Update

Microsoft heeft het advies uitgebracht om de eerder opgestelde URL Rewrite aan te passen, nadat ook hier uit onderzoek is gebleken dat deze kon worden omzeild. Waar de vorige update van het security bulletin een fout in de genoemde reguliere expressie betrof gaat het ditmaal om de eerder aanbevolen Condition input. Pinewood wil dan ook dringend adviseren om de eerder aangemaakte URL Rewrite te verwijderen en de volgende handelingen uit te voeren:

  • Open IIS Manager.
  • Select Default Web Site.
  • In the Feature View, click URL Rewrite.
  • In the Actions pane on the right-hand side, click Add Rule(s)…
  • Select Request Blocking and click OK.
  • Add the string “ .*autodiscover\.json.*Powershell.*” (excluding quotes).
  • Select Regular Expression under Using.
  • Select Abort Request under How to block and then click OK.
  • Expand the rule and select the rule with the pattern: .*autodiscover\.json.*Powershell.* and click Edit under Conditions.
  • Change the Condition input from {URL} to {UrlDecode:{REQUEST_URI}} and then click OK.

Bronnen

 Beschrijving

Er zijn twee actief misbruikte 0-Day kwetsbaarheden voor verschillende versies van Microsoft Exchange Server bekend. Een 0-Day kwetsbaarheid is een kwetsbaarheid die onbekend is voor de ontwikkelaar van de betreffende software en waar geen beveiligingsupdate voor beschikbaar is.

De eerste kwetsbaarheid die gekenmerkt wordt als CVE-2022-41040 is een Server-Side Request Forgery (SSRF) kwetsbaarheid die een aanvaller in staat stelt om een onbedoelde functionaliteit van een kwetsbare webapplicatie aan te roepen.

De tweede kwetsbaarheid die gekenmerkt wordt als CVE-2022-41082 stelt een aanvaller in staat om Remote Code Execution (RCE) uit te voeren wanneer deze toegang heeft tot PowerShell.

Belangrijk om te weten is dat een potentiële aanvaller geauthentiseerd op de kwetsbare Exhange Server dient te zijn alvorens de kwetsbaarheden in kwestie kunnen worden misbruikt.

Kwetsbare versies

Onderstaande producten van Microsoft zijn getroffen door de eerdergenoemde kwetsbaarheden:

  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

Gebruikers van Microsoft Exchange Online hoeven geen actie te ondernemen.

 Oplossing en workarounds

Op het moment van schrijven is er geen beveiligingsupdate beschikbaar. Microsoft heeft kennisgenomen van de betreffende kwetsbaarheden en is bezig met het ontwikkelen van een remedie. Tot die tijd bieden de volgende handelingen bescherming tegen de op dit moment bekende aanvalsmethode:

  • Open IIS Manager.
  • Select Default Web Site.
  • In the Feature View, click URL Rewrite.
  • In the Actions pane on the right-hand side, click Add Rule(s)…
  • Select Request Blocking and click OK.
  • Add the string “.*autodiscover\.json.*Powershell.*” (excluding quotes).
  • Select Regular Expression under Using.
  • Select Abort Request under How to block and then click OK.
  • Expand the rule and select the rule with the pattern: .*autodiscover\.json.*Powershell.* and click Edit under Conditions.
  • Change the Condition input from {URL} to {UrlDecode:{REQUEST_URI}} and then click OK.

Tot op heden heeft de URL Rewrite module geen impact op de functionaliteit van Exchange Servers.

Geauthentiseerde aanvallers met toegang tot PowerShell Remoting op kwetsbare Exchange Servers zijn in staat om Remote Code Execution (RCE) uit te voeren door middel van CVE-2022-41082. Door onderstaande poorten bijbehorend aan Remote PowerShell te blokkeren kan een eventuele aanval worden gelimiteerd:

  • HTTP: 5985
  • HTTPS: 5986

Microsoft heeft inmiddels voor alle gebruikers van Exchange Server het aanvullende advies uitgebracht om Remote PowerShell uit te zetten voor alle gebruikersaccounts in de organisatie die geen administrator zijn.

Voor meer informatie over het uitzetten van Remote PowerShell per gebruikersaccount of voor een groep gebruikersaccounts, zie de volgende documentatie afkomstig van Microsoft:

https://learn.microsoft.com/en-us/powershell/exchange/control-remote-powershell-access-to-exchange-servers?view=exchange-ps

Tevens kan het volgende PowerShell commando worden gebruikt om IIS log bestanden (%SystemDrive%\inetpub\logs\LogFiles folder) te controleren op mogelijke exploitatie:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

Het is raadzaam om de IIS logging te controleren vanaf augustus 2022.

Indien de IIS logging mogelijke exploitatie aanduidt willen wij u verzoeken om contact op te nemen met het Pinewood Security Operations Center (SOC).

Extra info

Pinewood monitort actief op eventuele verbindingen met IP-adressen die gekenmerkt worden als Indicator of Compromise (IoC).

 Bronnen

Vragen

Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 750 36 33) of via e-mail soc@pinewood.nl.

 

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

FHI Industrial Cyber Security Event 8 november 2022

Het FHI, de branchevereniging voor industriële automatisering, organiseert op 8 november a.s. het Industrial Cyber Security event in Hart van Holland te Nijkerk.

Laat u op een interactieve manier informeren om goed voorbereid te zijn op potentiële dreigingen, die vaak uit onverwachtse hoek komen. Tijdens dit event worden diverse actuele vraagstukken behandeld binnen uw vakgebied. Wij nodigen u van harte uit om dit event te bezoeken en mee te doen met onze Pinewood Cyber Security Game. In deze game dagen wij u uit met scherpe stellingen en complexe vragen. Na afloop is er ook een mogelijkheid om met ons van gedachte te wisselen over cyber security en dieper in te gaan op wat u kunt doen om goed voorbereid te zijn.

U kunt zich hier registreren voor een gratis toegangskaart voor het event.

Marina Spelbrink

Marketing & Communicatie

015 251 36 36

marina.spelbrink@pinewood.nl

UPDATE: Pinewood Security Bulletin – Microsoft Exchange 0-Day Kwetsbaarheden

UPDATE: Pinewood Security Bulletin – Microsoft Exchange 0-Day Kwetsbaarheden

 Uit onderzoek is gebleken dat de eerder aanbevolen handelingen die bescherming boden tegen de bekende aanvalsmethode kunnen worden omzeild. Pinewood wil dan ook dringend adviseren om de eerder aangemaakte URL Rewrite te verwijderen en de volgende handelingen uit te voeren:

  • Open IIS Manager.
  • Select Default Web Site.
  • In the Feature View, click URL Rewrite.
  • In the Actions pane on the right-hand side, click Add Rule(s)…
  • Select Request Blocking and click OK.
  • Add the string “.*autodiscover\.json.*Powershell.*” (excluding quotes).
  • Select Regular Expression under Using.
  • Select Abort Request under How to block and then click OK.
  • Expand the rule and select the rule with the pattern .*autodiscover\.json.*Powershell.* and click Edit under Conditions.
  • Change the Condition input from {URL} to {REQUEST_URI}

Let op dat het door Microsoft beschikbaar gestelde PowerShell script (EOMTv2.ps1) op het moment van schrijven nog steeds de oude reguliere expressie bevat en daarom geen bescherming biedt.

Het PowerShell script in kwestie is te vinden op de volgende GitHub repository afkomstig van Microsoft:

https://github.com/microsoft/CSS-Exchange/blob/3e4ac9d7c795c6731215bde267ad271001d07d91/Security/src/EOMTv2.ps1

Daarnaast heeft Microsoft voor alle gebruikers van Exchange Server inmiddels het aanvullende advies uitgebracht om Remote PowerShell uit te zetten voor alle gebruikersaccounts in de organisatie die geen administrator zijn.

Voor meer informatie over het uitzetten van Remote PowerShell per gebruikersaccount of voor een groep gebruikersaccounts, zie de volgende documentatie afkomstig van Microsoft:

https://learn.microsoft.com/en-us/powershell/exchange/control-remote-powershell-access-to-exchange-servers?view=exchange-ps

Bronnen

 Beschrijving

Er zijn twee actief misbruikte 0-Day kwetsbaarheden voor verschillende versies van Microsoft Exchange Server bekend. Een 0-Day kwetsbaarheid is een kwetsbaarheid die onbekend is voor de ontwikkelaar van de betreffende software en waar geen beveiligingsupdate voor beschikbaar is.

De eerste kwetsbaarheid die gekenmerkt wordt als CVE-2022-41040 is een Server-Side Request Forgery (SSRF) kwetsbaarheid die een aanvaller in staat stelt om een onbedoelde functionaliteit van een kwetsbare webapplicatie aan te roepen.

De tweede kwetsbaarheid die gekenmerkt wordt als CVE-2022-41082 stelt een aanvaller in staat om Remote Code Execution (RCE) uit te voeren wanneer deze toegang heeft tot PowerShell.

Belangrijk om te weten is dat een potentiële aanvaller geauthentiseerd op de kwetsbare Exhange Server dient te zijn alvorens de kwetsbaarheden in kwestie kunnen worden misbruikt.

 Kwetsbare versies

 Onderstaande producten van Microsoft zijn getroffen door de eerdergenoemde kwetsbaarheden:

  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

Gebruikers van Microsoft Exchange Online hoeven geen actie te ondernemen.

 Oplossing en workarounds

Op het moment van schrijven is er geen beveiligingsupdate beschikbaar. Microsoft heeft kennisgenomen van de betreffende kwetsbaarheden en is bezig met het ontwikkelen van een remedie. Tot die tijd bieden de volgende handelingen bescherming tegen de op dit moment bekende aanvalsmethode:

  • Open IIS Manager.
  • Select Default Web Site.
  • In the Feature View, click URL Rewrite.
  • In the Actions pane on the right-hand side, click Add Rule(s)…
  • Select Request Blocking and click OK.
  • Add the string “.*autodiscover\.json.*Powershell.*” (excluding quotes).
  • Select Regular Expression under Using.
  • Select Abort Request under How to block and then click OK.
  • Expand the rule and select the rule with the pattern .*autodiscover\.json.*Powershell.* and click Edit under Conditions.
  • Change the Condition input from {URL} to {REQUEST_URI}

Tot op heden heeft de URL Rewrite module geen impact op de functionaliteit van Exchange Servers.

Let op dat het door Microsoft beschikbaar gestelde PowerShell script (EOMTv2.ps1) op het moment van schrijven nog steeds de oude reguliere expressie bevat en daarom geen bescherming biedt.

Het PowerShell script in kwestie is te vinden op de volgende GitHub repository afkomstig van Microsoft:

https://github.com/microsoft/CSS-Exchange/blob/3e4ac9d7c795c6731215bde267ad271001d07d91/Security/src/EOMTv2.ps1

Geauthentiseerde aanvallers met toegang tot PowerShell Remoting op kwetsbare Exchange Servers zijn in staat om Remote Code Execution (RCE) uit te voeren door middel van CVE-2022-41082. Door onderstaande poorten bijbehorend aan Remote PowerShell te blokkeren kan een eventuele aanval worden gelimiteerd:

  • HTTP: 5985
  • HTTPS: 5986

Microsoft heeft inmiddels voor alle gebruikers van Exchange Server het aanvullende advies uitgebracht om Remote PowerShell uit te zetten voor alle gebruikersaccounts in de organisatie die geen administrator zijn.

Voor meer informatie over het uitzetten van Remote PowerShell per gebruikersaccount of voor een groep gebruikersaccounts, zie de volgende documentatie afkomstig van Microsoft:

https://learn.microsoft.com/en-us/powershell/exchange/control-remote-powershell-access-to-exchange-servers?view=exchange-ps

Tevens kan het volgende PowerShell commando worden gebruikt om IIS log bestanden (%SystemDrive%\inetpub\logs\LogFiles folder) te controleren op mogelijke exploitatie:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

Het is raadzaam om de IIS logging te controleren vanaf augustus 2022.

Indien de IIS logging mogelijke exploitatie aanduidt willen wij u verzoeken om contact op te nemen met het Pinewood Security Operations Center (SOC).

Extra info

 Pinewood monitort actief op eventuele verbindingen met IP-adressen die gekenmerkt worden als Indicator of Compromise (IoC).

 Bronnen

Vragen

Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 750 36 33) of via e-mail soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Microsoft Exchange 0-Day Kwetsbaarheden

Beschrijving

Er zijn twee actief misbruikte 0-Day kwetsbaarheden voor verschillende versies van Microsoft Exchange Server bekend. Een 0-Day kwetsbaarheid is een kwetsbaarheid die onbekend is voor de ontwikkelaar van de betreffende software en waar geen beveiligingsupdate voor beschikbaar is.

De eerste kwetsbaarheid die gekenmerkt wordt als CVE-2022-41040 is een Server-Side Request Forgery (SSRF) kwetsbaarheid die een aanvaller in staat stelt om een onbedoelde functionaliteit van een kwetsbare webapplicatie aan te roepen.

De tweede kwetsbaarheid die gekenmerkt wordt als CVE-2022-41082 stelt een aanvaller in staat om Remote Code Execution (RCE) uit te voeren wanneer deze toegang heeft tot PowerShell.

Belangrijk om te weten is dat een potentiële aanvaller geauthentiseerd op de kwetsbare Exhange Server dient te zijn alvorens de kwetsbaarheden in kwestie kunnen worden misbruikt.

Kwetsbare versies

Onderstaande producten van Microsoft zijn getroffen door de eerdergenoemde kwetsbaarheden:

  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

Gebruikers van Microsoft Exchange Online hoeven geen actie te ondernemen.

 Oplossing en workarounds

Op het moment van schrijven is er geen beveiligingsupdate beschikbaar. Microsoft heeft kennisgenomen van de betreffende kwetsbaarheden en is bezig met het ontwikkelen van een remedie. Tot die tijd bieden de volgende handelingen bescherming tegen de op dit moment bekende aanvalsmethode:

  • Open the IIS Manager.
  • Expand the Default Web Site.
  • Select Autodiscover.
  • In the Feature View, click URL Rewrite.
  • In the Actions pane on the right-hand side, click Add Rules.
  • Select Request Blocking and click OK.
  • Add String “.*autodiscover\.json.*\@.*Powershell.*” (excluding quotes) and click OK.
  • Expand the rule and select the rule with the Pattern “.*autodiscover\.json.*\@.*Powershell.*” and click Edit under Conditions.
  • Change the condition input from {URL} to {REQUEST_URI}

Volgens Microsoft heeft de URL Rewrite module geen impact op de functionaliteit van Exchange Servers.

Voor een gevisualiseerde weergave van de bovengenoemde handelingen, zie de volgende blog post afkomstig van Microsoft:

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

Geauthentiseerde aanvallers met toegang tot PowerShell Remoting op kwetsbare Exchange Servers zijn in staat om Remote Code Execution (RCE) uit te voeren door middel van CVE-2022-41082. Door onderstaande poorten bijbehorend aan Remote PowerShell te blokkeren kan een eventuele aanval worden gelimiteerd:

  • HTTP: 5985
  • HTTPS: 5986

Tevens kan het volgende PowerShell commando worden gebruikt om IIS log bestanden (%SystemDrive%\inetpub\logs\LogFiles folder) te controleren op mogelijke exploitatie:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

Het is raadzaam om de IIS logging te controleren vanaf augustus 2022.

Indien de IIS logging mogelijke exploitatie aanduidt willen wij u verzoeken om contact op te nemen met het Pinewood Security Operations Center (SOC).

Extra info

Pinewood monitort actief op eventuele verbindingen met IP-adressen die gekenmerkt worden als Indicator of Compromise (IoC).

Bronnen

Vragen

Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 750 36 33) of via e-mail soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – VMWare advisory

VMWare heeft updates uitgebracht om de kwetsbaarheden  in meerdere VMWare producten te verhelpen. In dit bulletin meer informatie over deze kwetsbaarheden en de updates.

Beschrijving

Ongeauthenticeerde kwaadwillende kunnen deze kwetsbaarheden misbruiken voor het veroorzaken van de volgende categorieën schade:

  • Cross-Site Scripting (XSS);
  • Omzeilen van authenticatie;
  • (Remote) code execution (Administrator/Root rechten);
  • (Remote) code execution (gebruikersrechten);
  • Toegang tot gevoelige informatie;
  • Verkrijgen van verhoogde rechten.

De meest kritische kwetsbaarheden betreffen CVE-2022-31656 (CVSS 9.8) en CVE-2022-31659 (CVSS 8.0). Deze kwetsbaarheden zijn door het NCSC geclassificeerd als HIGH/HIGH (Kans/impact). Op korte termijn wordt voor bovenstaande kwetsbaarheden een publieke Proof-Of-Conceptcode verwacht. De security onderzoeker die deze kwetsbaarheid heeft geïdentificeerd is van plan om de Proof-Of-Conceptcode binnenkort publiekelijk te maken. Om deze reden verwacht Pinewood dat deze kwetsbaarheden op de korte termijn misbruikt zullen worden.

Kwetsbare versies

 Onderstaande VMWare producten zijn getroffen door de eerdergenoemde kwetsbaarheden:

  • VMware Workspace ONE Access (Access)
    • Getroffen versies: 21.08.0.1, 21.08.0.0
  • VMware Workspace ONE Access Connector (Access Connector)
    • Getroffen versies: 22.05, 21.08.0.1, 21.08.0.0
  • VMware Identity Manager (vIDM)
    • Getroffen versies: 3.3.6, 3.3.5, 3.3.4
  • VMware Identity Manager Connector (vIDM Connector)
    • Getroffen versies: 3.3.6, 3.3.5, 3.3.4, 19.03.0.1
  • VMware vRealize Automation (vRA)
    • Getroffen versies: 8.x, 7.6
  • VMware Cloud Foundation
    • Getroffen versies: 4.4.x, 4.3.x, 4.2.x
  • vRealize Suite Lifecycle Manager
    • Getroffen versies: 8.x

Oplossing en workarounds

VMWare heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Voor meer informatie omtrent het patchen en de kwetsbare versies, zie [Link] (VMWare advisory) en [Link] (VMWare patch instructions)

VMware heeft mitigerende maatregelen gepubliceerd om het risico van misbruik te beperken indien updates (nog) niet kunnen worden ingezet. Voor meer informatie, zie [Link] (VMWare patch instructions) en [Link] (VMWare FAQ)

Meer informatie

Voor de kwetsbaarheden CVE-2022-31656 en CVE-2022-31659 wordt op korte termijn een publieke Proof-Of-Conceptcode verwacht. De security researcher die deze kwetsbaarheid heeft geïdentificeerd zal binnenkort de Proof-Of-Conceptcode online publiceren. Daarom worden deze kwetsbaarheden ingeschaald als HIGH/HIGH.

Bronnen:

Vragen

Heeft u nog vragen  over  dit issue dan  kunt u contact opnemen met de Pinewood Servicedesk (015 750 36 33) of via e-mail soc@pinewood.nl.

 

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Fortinet Expert Partner 2022

Afgelopen week heeft Sebastiaan Kors met trots wederom de “Fortnet Expert Partner Award 2022” in ontvangst genomen. Deze award werd uitgereikt door Jaco van der Sman, Channel Account Manager Fortinet. Ons partnership gaat verder dan een fijne samenwerking en de verkoop van alle Fortinet producten. De experts van Pinewood zijn volledig commited en doen, naast het volgen van veel trainingen, ook mee aan challenges in zowel Europa als in Amerika.  Kennis vergroten en verdiepen is één van de belangrijkste speerpunten van Pinewood. Deze award bewijst nog maar eens dat we als Fortinet Expert partner veel expertise in huis hebben en hiermee onze klanten kwaliteit en kennis kunnen bieden.

Heeft u advies of ondersteuning nodig, neemt u dan contact met ons op. Wij helpen u graag verder.

 

Cyber360 event

Op donderdag 16 juni jl. heeft het security cluster (Pinewood en DataExpert) van Interstellar het event Cyber360 georganiseerd. Vanuit een 360 graden benadering hebben we deze middag laten zien hoe maatregelen rondom de vier stappen Prediction, Prevention, Detection (Security Operations Center) en Resonse (Incident Response) samenwerken om organisaties veiliger te maken.

Onze key-note spreker deze dag was Xander Koppelmans die een heel indrukwekkend en persoonlijk verhaal heeft verteld over hoe het is om zelf gehackt te worden.

Het was een geslaagde dag die vraagt om een vervolg.

Houd onze website in de gaten voor meer informatie en een blog over deze 360 graden benadering.

 

 

Pinewood Security Bulletin – Update kwetsbaarheid in Java Spring Framework (Spring4Shell, CVE-2022-22965)

Pinewood Security Bulletin – Update kwetsbaarheid in Java Spring Framework (Spring4Shell, CVE-2022-22965)

Update

Het NCSC heeft een overzicht gepubliceerd met kwetsbare software. Pinewood adviseert om dit overzicht in de gaten te houden en te controleren of er gebruik gemaakt wordt van deze kwetsbare software. Als dat zo is, dan moet het advies van de leverancier opgevolgd worden. Het overzicht, dat nog continue bijgewerkt wordt, is te vinden op https://github.com/NCSC-NL/spring4shell/blob/main/software/README.md .

 Samenvatting

Door een kwetsbaarheid in het Java Spring Core Framework (<= versie 5.3.17) kan op afstand code uitgevoerd worden op een server (Remote Code Execution). Het Spring Framework wordt als basis gebruikt binnen andere software. Er is nog geen compleet overzicht van alle software waarin deze kwetsbaarheid zit. Pinewood adviseert om te inventariseren welke publiek bereikbare (web)applicaties gebruik maken van Apache Tomcat. Daarnaast is het advies om nieuwsberichten van leveranciers in de gaten te houden. Het overzicht van het NCSC met kwetsbare software kan hierbij helpen.

Beschrijving

Door een kwetsbaarheid in Java Spring Core Framework (<= versie 5.3.17) kan op afstand code uitgevoerd worden op een server (Remote Code Execution). Specifiek gaat het om een bypass van een eerdere kwetsbaarheid (CVE-2010-1622) in Spring MVC en Spring WebFlux applicaties. De manier waarop de applicatie gegevensinvoer verwerkt kan misbruikt worden om andere gegevens binnen de applicatie te overschrijven. Uiteindelijk kan hierdoor code worden uitgevoerd binnen de applicatie. Deze nieuwe kwetsbaarheid heeft het CVE-nummer CVE-2022-22965 gekregen.

De ontwikkelaars hebben aangegeven dat aan verschillende randvoorwaarden voldaan moet zijn, voordat deze kwetsbaarheid misbruikt kan worden. Het gaat om de volgende voorwaarden:

  • De applicatie maakt gebruik van JDK 9+
  • De applicatie is verpakt (packaged) als WAR
  • De applicatie gebruikt Apache Tomcat als servlet container
  • De applicatie heeft een afhankelijkheid (dependency) op spring-mvc of spring-webflux.

Applicaties op basis van Spring Boot met ingebouwde Apache Tomcat installatie zijn door bovenstaande randvoorwaarden niet kwetsbaar.

Tijdlijn en verwarring andere kwetsbaarheden

Op dinsdag 29 maart 2022 werd publiekelijk bekend gemaakt dat er een Remote Code Execution kwetsbaarheid in Java Spring Framework aanwezig is. Informatie over deze kwetsbaarheid werd echter vrij snel weer verwijderd en bevatte ook niet alle details om dit te reproduceren. De ontwikkelaars van het Spring Framework waren niet op de hoogte van deze kwetsbaarheid. Omdat er op dezelfde dag een andere kwetsbaarheid in Java Spring Cloud Function (CVE-2022-22963) werd gevonden, was het in eerste instantie onduidelijk of het ging om één en dezelfde kwetsbaarheid. Op woensdag 30 en donderdag 31 maart werd pas echt duidelijk dat het ging om twee verschillende kwetsbaarheden. Op donderdag zijn twee nieuwe versies van Java Spring Framework gepubliceerd die de ‘Spring4Shell’-kwetsbaarheid verhelpen. Tegelijkertijd zijn er al verschillende scripts gepubliceerd waarmee de kwetsbaarheid misbruikt kan worden.

Gerelateerd aan de ‘Spring4Shell’ en ‘Spring Cloud Function’ kwetsbaarheden, was er speculatie over een derde ‘deserialization’ kwetsbaarheid. De ontwikkelaars hebben aangegeven dat dit geen kwetsbaarheid betreft.

 Oplossing en workarounds

De kwetsbaarheid is opgelost in versies 5.3.18 en 5.2.20 van het Spring Framework. Als workaround kan de kwetsbare code worden aangepast om misbruik te voorkomen. Op de website spring.io is uitgelegd hoe deze workaround werkt. Beide oplossingen vereisen een aanpassing van de applicatie. Voor zover bekend zijn er geen instellingen die aangepast kunnen worden om deze kwetsbaarheid te verhelpen.

Advies

Pinewood adviseert om te inventariseren welke publiek bereikbare (web)applicaties gebruik maken van Apache Tomcat. Volg berichten van leveranciers of neem contact met deze op om na te gaan of software kwetsbaar is voor Spring4Shell. Een overzicht van publieke berichten is te vinden op https://github.com/NCSC-NL/spring4shell/blob/main/software/README.md.

De kwetsbaarheid is niet alleen vanaf het internet te misbruiken. Blijf daarom in de gaten houden of de kwetsbaarheid ook niet-publiek bereikbare applicaties betreft. Pinewood zal nieuwe security bulletins versturen zodra bekend wordt welke software getroffen is door deze kwetsbaarheid.

Monitoring in het Security Operations Center

In het Security Operations Center van Pinewood worden de ontwikkelingen rondom deze kwetsbaarheid op de voet gevolgd. Er wordt nog gewerkt aan specifieke detectiemethoden voor deze kwetsbaarheid. Algemene indicatoren van misbruik worden uiteraard in de gaten gehouden.

Meer informatie

Vragen

Voor vragen m.b.t. dit issue kunt u contact opnemen met Pinewood SOC (015 750 13 31) of via e-mail soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Kwetsbaarheid in Java Spring Framework (Spring4Shell, CVE-2022-22965)

Pinewood Security Bulletin – Kwetsbaarheid in Java Spring Framework (Spring4Shell, CVE-2022-22965)

Samenvatting

Door een kwetsbaarheid in het Java Spring Core Framework (<= versie 5.3.17) kan op afstand code uitgevoerd worden op een server (Remote Code Execution). Het Spring Framework wordt als basis gebruikt binnen andere software. Op dit moment is nog onbekend welke software allemaal gebruik maakt van dit framework. Pinewood adviseert om te inventariseren welke publiek bereikbare (web)applicaties gebruik maken van Apache Tomcat. Ook adviseert Pinewood om contact op te nemen met de leverancier om na te gaan of de applicatie kwetsbaar is voor de Spring4Shell-kwetsbaarheid.

Beschrijving

Door een kwetsbaarheid in Java Spring Core Framework (<= versie 5.3.17) kan op afstand code uitgevoerd worden op een server (Remote Code Execution). Specifiek gaat het om een bypass van een eerdere kwetsbaarheid (CVE-2010-1622) in Spring MVC en Spring WebFlux applicaties. De manier waarop de applicatie gegevensinvoer verwerkt kan misbruikt worden om andere gegevens binnen de applicatie te overschrijven. Uiteindelijk kan hierdoor code worden uitgevoerd binnen de applicatie. Deze nieuwe kwetsbaarheid heeft het CVE-nummer CVE-2022-22965 gekregen.

De ontwikkelaars hebben aangegeven dat aan verschillende randvoorwaarden voldaan moet zijn, voordat deze kwetsbaarheid misbruikt kan worden. Het gaat om de volgende voorwaarden:

  • De applicatie maakt gebruik van JDK 9+
  • De applicatie is verpakt (packaged) als WAR
  • De applicatie gebruikt Apache Tomcat als servlet container
  • De applicatie heeft een afhankelijkheid (dependency) op spring-mvc of spring-webflux.

Applicaties op basis van Spring Boot met ingebouwde Apache Tomcat installatie zijn door bovenstaande randvoorwaarden NIET kwetsbaar.

Op dit moment is nog onbekend welke software allemaal gebruik maakt van Java Spring Core Framework en of deze kwetsbaar is voor de Spring4Shell-kwetsbaarheid. Wanneer er meer bekend is over de software die dit betreft, zal een nieuw security bulletin verstuurd worden.

Tijdlijn en verwarring andere kwetsbaarheden

Op dinsdag 29 maart 2022 werd publiek bekend gemaakt dat er een Remote Code Execution kwetsbaarheid in Java Spring Framework aanwezig is. Informatie over deze kwetsbaarheid werd echter vrij snel weer verwijderd en bevatte ook niet alle details om dit te reproduceren. De ontwikkelaars van het Spring Framework waren niet op de hoogte van deze kwetsbaarheid. Omdat er op dezelfde dag een andere kwetsbaarheid in Java Spring Cloud Function (CVE-2022-22963) werd gevonden, was het in eerste instantie onduidelijk of het ging om één en dezelfde kwetsbaarheid. Op woensdag 30 en donderdag 31 maart werd pas echt duidelijk dat het ging om twee verschillende kwetsbaarheden. Op donderdag zijn twee nieuwe versies van Java Spring Framework gepubliceerd die de ‘Spring4Shell’-kwetsbaarheid verhelpen. Tegelijkertijd zijn er al verschillende scripts gepubliceerd waarmee de kwetsbaarheid misbruikt kan worden.

Gerelateerd aan de ‘Spring4Shell’ en ‘Spring Cloud Function’ kwetsbaarheden, was er speculatie over een derde ‘deserialization’ kwetsbaarheid. De ontwikkelaars hebben aangegeven dat dit geen kwetsbaarheid betreft.

Oplossing en workarounds

De kwetsbaarheid is opgelost in versies 5.3.18 en 5.2.20 van het Spring Framework. Als workaround kan de kwetsbare code worden aangepast om misbruik te voorkomen. Op de website spring.io is uitgelegd hoe deze workaround werkt. Beide oplossingen vereisen een aanpassing van de applicatie. Voor zover bekend zijn er geen instellingen die aangepast kunnen worden om deze kwetsbaarheid te verhelpen.

Advies

Pinewood adviseert om te inventariseren welke publiek bereikbare (web)applicaties gebruik maken van Apache Tomcat. Neem vervolgens contact op met de leverancier om na te gaan of de applicatie kwetsbaar is voor de Spring4Shell kwetsbaarheid.

De kwetsbaarheid is niet alleen vanaf het internet te misbruiken. Blijf daarom in de gaten houden of de kwetsbaarheid ook niet-publiek bereikbare applicaties betreft. Pinewood zal nieuwe security bulletins versturen zodra bekend wordt welke software getroffen is door deze kwetsbaarheid.

Monitoring in het Security Operations Center

In het Security Operations Center van Pinewood worden de ontwikkelingen rondom deze kwetsbaarheid op de voet gevolgd. Op dit moment zijn er nog geen scans of aanvallen te zien. Er wordt nog gewerkt aan specifieke detectiemethoden voor deze kwetsbaarheid. Algemene detectiemethoden en indicatoren van misbruik worden standaard in de gaten gehouden.

Meer informatie

Vragen

Voor vragen met betrekking tot dit issue, kunt u contact opnemen met Pinewood SOC (015 750 13 31) of via e-mail soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl