For English, see below.

Beschrijving

Er bevinden zich opnieuw ernstige kwetsbaarheden in Citrix NetScaler ADC en NetScaler Gateway, bekend als CVE-2025-7775, CVE-2025-7776 en CVE-2025-8424. Als een aanvaller netwerktoegang heeft tot de NetScaler-systemen en deze kwetsbaarheden weet te misbruiken, kan dit leiden tot het uitvoeren van willekeurige code op afstand, Denial-of-Service of het verkrijgen van ongeautoriseerde toegang tot systemen.

Volgens Citrix wordt in ieder geval CVE-2025-7775 actief misbruikt en het NCSC constateert dat zeer veel Netscaler-systemen kwetsbaar zijn. Grootschalig misbruik wordt dus op korte termijn verwacht.

Kwetsbare versies

De kwetsbaarheden bevinden zich in onderstaande versies van Citrix NetScaler ADC en NetScaler Gateway:

·                  NetScaler ADC en NetScaler Gateway 14.1 vóór versie 14.1-47.48

·                  NetScaler ADC en NetScaler Gateway 13.1 vóór versie 13.1-59.22

·                  NetScaler ADC 13.1-FIPS en 13.1-NDcPP vóór versie 13.1-37.241

·                  NetScaler ADC 12.1-FIPS en 12.1-NDcPP vóór versie 12.1-55.330

Let op: versies 12.1 en 13.0 van NetScaler ADC en NetScaler Gateway zijn wel kwetsbaar, maar ook End-of-Life (EOL) en ontvangen hierdoor geen verdere updates. Klanten wordt dringend geadviseerd om te upgraden naar een ondersteunde versie.

Oplossingen en tijdelijke mitigaties

Citrix heeft de kwetsbaarheden verholpen via onderstaande patches:

·                  NetScaler ADC en NetScaler Gateway versie 14.1-47.48 en later

• NetScaler ADC en NetScaler Gateway versie 13.1-59.22 en later
• NetScaler ADC 13.1-FIPS en 13.1-NDcPP versie 13.1-37.241 en later

·                  NetScaler ADC 12.1-FIPS en 12.1-NDcPP versie 12.1-55.330 en later

Voor meer handelingsperspectief verwijzen we naar de berichtgeving van het NCSC over de vorige reeks kwetsbaarheden in Citrix NetScaler: https://www.ncsc.nl/actueel/nieuws/2025/07/22/casus-citrix-kwetsbaarheid.

Detectie van mogelijk misbruik

Het NCSC heeft voor de vorige reeks kritieke kwetsbaarheden in Citrix Netscaler detectiescripts gepubliceerd op GitHub waarmee organisaties kunnen controleren of hun NetScaler-systemen mogelijk zijn gecompromitteerd en kunnen nu wederom worden gebruikt. Deze scripts controleren onder andere core dumps, disk images en live hosts op indicatoren van misbruik. De scripts zijn beschikbaar via: https://github.com/NCSC-NL/citrix-2025.

Meer informatie

·                  https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694938

·                  https://www.ncsc.nl/actueel/nieuws/2025/07/22/casus-citrix-kwetsbaarheid

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.

===== ENGLISH =====

Description

Once again severe vulnerabilities have been discovered in Citrix NetScaler ADC and NetScaler Gateway, tracked as CVE-2025-7775, CVE-2025-7776, and CVE-2025-8424. If an attacker has network access to the NetScaler systems and is able to exploit these vulnerabilities, it could lead to the execution of arbitrary code, denial-of-service, or obtaining unauthorized access to systems.

According to Citrix the CVE-2025-7775 vulnerability is already being actively exploited, and NCSC-NL observes that many NetScaler systems are vulnerable. Widespread abuse of the vulnerabilities is therefore expected in the near future.

Vulnerable versions

The following versions of Citrix NetScaler ADC and NetScaler Gateway are vulnerable:

·                  NetScaler ADC and NetScaler Gateway 14.1 before version 14.1-47.48

• NetScaler ADC and NetScaler Gateway 13.1 before version 13.1-59.22
• NetScaler ADC 13.1-FIPS and 13.1-NDcPP before version 13.1-37.241
• NetScaler ADC 12.1-FIPS and 12.1-NDcPP before version 12.1-55.330

Note: Versions 12.1 and 13.0 of NetScaler ADC and NetScaler Gateway are also vulnerable but are End-of-Life (EOL) and therefore no longer receive updates. Customers are strongly advised to upgrade to a supported version.

Solutions and workarounds

Citrix has addressed the vulnerabilities through the following patches:

·                  NetScaler ADC and NetScaler Gateway version 14.1-47.48 and later

• NetScaler ADC and NetScaler Gateway version 13.1-59.22 and later
• NetScaler ADC 13.1-FIPS and 13.1-NDcPP version 13.1-37.241 and later

·                  NetScaler ADC 12.1-FIPS and 12.1-NDcPP version 12.1-55.330 and later

For further guidance, please refer to the NCSC’s reporting on the previous series of critical vulnerabilities in Citrix NetScaler: https://www.ncsc.nl/actueel/nieuws/2025/07/22/casus-citrix-kwetsbaarheid.

Detection of possible abuse

The NCSC has already published detection scripts on GitHub for the previous series of critical vulnerabilities in Citrix Netscaler, which allow organizations to check if their NetScaler systems may have been compromised. The scripts are generally applicable and can be used to detect abuse of this new series of vulnerabilities as well. The scripts are available at: https://github.com/NCSC-NL/citrix-2025.

More information

·                  https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694938

·                  https://www.ncsc.nl/actueel/nieuws/2025/07/22/casus-citrix-kwetsbaarheid

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl.

Beschrijving

Microsoft heeft updates uitgebracht om twee actief misbruikte kwetsbaarheden in on-premises installaties van Microsoft SharePoint te verhelpen. De meest ernstige kwetsbaarheid (CVE-2025-53770) stelt een kwaadwillende in staat om op afstand – en zonder authenticatie – willekeurige code uit te voeren op een kwetsbare server. Aanvallers maken vermoedelijk sinds 18 juli misbruik van deze kwetsbaarheden om SharePoint-servers te infecteren met webshells. Microsoft heeft updates uitgebracht om de kwetsbaarheden te verhelpen en raadt aan deze z.s.m. te installeren en de ASP.NET-machinesleutels van SharePoint-servers te vernieuwen.

Kwetsbare versies

De kwetsbaarheden bevinden zich in de volgende on-premises versies van SharePoint:

• Microsoft SharePoint Server Subscription Edition (SE)
• Microsoft SharePoint Server 2019
• Microsoft SharePoint Enterprise Server 2016

SharePoint Online tenants zijn niet kwetsbaar.

Oplossingen en tijdelijke mitigaties

Microsoft heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Organisaties wordt aangeraden deze updates z.s.m. te installeren.

Daarnaast raadt Microsoft aan om een aantal aanvullende maatregelen te treffen om misbruik van deze – en eventuele toekomstige – kwetsbaarheden te voorkomen en aanvallers buiten te sluiten:

1. Activeer de Antimalware Scan Interface (AMSI) integratie in SharePoint en maak daarbij gebruik van de “Full Mode”-configuratie. In combinatie met Microsoft Defender zal dit uitbuiting van deze kwetsbaarheid helpen voorkomen. AMSI-integratie is standaard ingeschakeld wanneer recente security updates op de SharePoint-server zijn geïnstalleerd (respectievelijk de “September 2023”-updates voor SharePoint Server 2016/2019 en de “23H2 feature update” voor SharePoint SE).
2. Maak gebruik van Microsoft Defender of een vergelijkbare EDR-oplossing om misbruik van kwetsbaarheden te detecteren en te blokkeren.
3. Vernieuw de ASP.NET machinesleutels na het installeren van de updates en herstart IIS op alle SharePoint-servers. Deze stap is essentieel om ervoor te zorgen dat aanvallers worden buitengesloten van servers waartoe zij zich in eerder stadium toegang hebben weten te verschaffen.

Detectie van mogelijk misbruik

Er bestaan een aantal manieren waarop misbruik van de kwetsbaarheden kan worden vastgesteld.

1. Aanwezigheid van het bestand spinstall0.aspx

Aanvallers plaatsen tijdens de bekende misbruikcampagnes het malafide bestand spinstall0.aspx op kwetsbare servers. Aanwezigheid hiervan op een SharePoint-server is dan ook een sterke indicatie voor compromittatie. Microsoft heeft KQL-queries beschikbaar gesteld waarmee het mogelijk is te zoeken op de aanwezigheid (en installatie) van dit bestand op SharePoint-servers (waarop Defender is geïnstalleerd).

1. Aanvalspogingen vanaf specifieke IP-adressen

Het is bekend dat de aanvallers vanaf een beperkte set aan IP-adressen aanvallen hebben uitgevoerd op SharePoint-servers. Het gaat om de onderstaande IP-adressen die door diverse beveiligingsonderzoekers (Eye Security en Palo Alto) zijn gepubliceerd:

• 96.9.125[.]147
• 103.186.30[.]186
• 104.238.159[.]149
• 107.191.58[.]76

Activiteit vanaf deze IP-adressen richting kwetsbare (internet exposed) SharePoint-servers is een indicatie van mogelijk misbruik.

1. Processen geïnitieerd w3wp.exe

Misbruik kan worden gedetecteerd doordat het IIS-proces (w3wp.exe) onverwacht nieuwe subprocessen start. Normaalgesproken voert w3wp.exe alleen webapplicatie-gerelateerde taken uit en start het geen aparte programma’s. Wanneer w3wp.exe echter “child”-processen aanmaakt, kan dit wijzen op succesvol misbruik van de kwetsbaarheden.

Meer informatie

• https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53771
• https://www.microsoft.com/en-us/download/details.aspx?id=108285
• https://www.microsoft.com/en-us/download/details.aspx?id=108286
• https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-07-19-Microsoft-SharePoint-vulnerabilities-CVE-2025-49704-and-49706.txt
• https://research.eye.security/sharepoint-under-siege/
• https://x.com/andrewdanis/status/1946661591140778435

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.

===== ENGLISH =====

Description

Microsoft has released updates to address two actively exploited vulnerabilities in on-premises installations of Microsoft SharePoint. The most severe vulnerability (CVE-2025-53770) allows a malicious actor to remotely execute arbitrary code on a vulnerable server without authentication. Attackers have reportedly been exploiting these vulnerabilities since July 18 to infect SharePoint servers with web shells. Microsoft has released updates to remediate the vulnerabilities and recommends installing them as soon as possible, as well as renewing the ASP.NET machine keys on SharePoint servers.

Vulnerable versions

The vulnerabilities affect the following on-premises versions of SharePoint:

• Microsoft SharePoint Server Subscription Edition (SE)
• Microsoft SharePoint Server 2019
• Microsoft SharePoint Enterprise Server 2016

SharePoint Online tenants are not affected.

Solutions and workarounds

Microsoft has released updates to fix these vulnerabilities. Organizations are advised to install these updates as soon as possible.

Additionally, Microsoft recommends implementing several additional measures to prevent exploitation of these and future vulnerabilities and to lock attackers out:

1. Enable Antimalware Scan Interface (AMSI) integration in SharePoint using the “Full Mode” configuration. In combination with Microsoft Defender, this will help prevent exploitation of this vulnerability. AMSI integration is enabled by default when recent security updates are installed on the SharePoint server (specifically, the September 2023 updates for SharePoint Server 2016/2019 and the 23H2 feature update for SharePoint SE).
2. Use Microsoft Defender or a similar EDR solution to detect and block exploitation of vulnerabilities.
3. Rotate the ASP.NET machine keys after installing the updates and restart IIS on all SharePoint servers. This step is essential to ensure that attackers are locked out of servers they may have previously compromised.

Detection of possible misuse

There are several ways to detect exploitation of these vulnerabilities.

1. Presence of the file spinstall0.aspx

During known exploitation campaigns, attackers place the malicious file spinstall0.aspx on vulnerable servers. The presence of this file on a SharePoint server is a strong indication of compromise. Microsoft has published KQL queries that can be used to search for the presence (and installation) of this file on SharePoint servers with Defender installed.

1. Attack attempts from specific IP addresses

It is known that attackers have launched attacks from a limited set of IP addresses targeting SharePoint servers. The following IP addresses have been published by various security researchers (Eye Security and Palo Alto):

• 96.9.125[.]147
• 103.186.30[.]186
• 104.238.159[.]149
• 107.191.58[.]76

Activity from these IP addresses targeting vulnerable (internet-exposed) SharePoint servers is an indication of possible exploitation.

1. Processes initiated by w3wp.exe

Exploitation can be detected if the IIS process (w3wp.exe) unexpectedly spawns new subprocesses. Normally, w3wp.exe only performs web application-related tasks and does not launch separate programs. However, if w3wp.exe creates “child” processes, this may indicate successful exploitation of the vulnerabilities.

More information

• https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53771
• https://www.microsoft.com/en-us/download/details.aspx?id=108285
• https://www.microsoft.com/en-us/download/details.aspx?id=108286
• https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-07-19-Microsoft-SharePoint-vulnerabilities-CVE-2025-49704-and-49706.txt
• https://research.eye.security/sharepoint-under-siege/
• https://x.com/andrewdanis/status/1946661591140778435

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl.

Update 7 augustus 2025

SonicWall heeft in het onderzoek naar de recente aanvallen met hoge mate van zekerheid vastgesteld dat er geen sprake is van een nieuwe kwetsbaarheid in SonicWall-devices. De aanvallen die nu plaatsvinden, misbruiken volgens SonicWall de kwetsbaarheid CVE-2024-40766 die al in augustus 2024 werd verholpen. Pinewood heeft hier in september 2024 een security bulletin over gestuurd nadat duidelijk werd dat de kwetsbaarheid toen al actief werd uitgebuit en niet alleen via de management interface, maar ook via de SSL VPN functionaliteit kon worden misbruikt.

Volgens SonicWall worden veel van de incidenten veroorzaakt doordat, bij de migratie van Gen 6 naar Gen 7, de wachtwoorden van lokale accounts niet zijn gereset. Dit laatste was een essentiële stap die ook in het originele beveiligingsadvies werd beschreven.

We hebben dit security bulletin aangepast om deze laatste bevindingen te verwerken.

Beschrijving

SonicWall heeft aangegeven dat er recent een toename is te zien in incidenten gericht op SonicWall Gen 7 firewalls, specifiek op devices waarop de SSL VPN-functionaliteit is ingeschakeld. De aanvallen maken misbruik van CVE-2024-40766, een kwetsbaarheid die al in augustus 2024 werd verholpen en die het mogelijk maakt om ongeautoriseerde toegang te verkrijgen. Misbruik van de kwetsbaarheid begon kort na het bekend worden ervan in 2024.

Het lijkt erop dat de recente incidenten met name verband houden met de Akira ransomware. Na initiële compromittatie van een SSL VPN-verbinding, zoeken de actoren achter deze ransomware binnen korte tijd naar mogelijkheden tot het verkrijgen van verhoogde rechten in het netwerk om vervolgens de ransomware te activeren.

Kwetsbare versies

De kwetsbaarheid bevindt zich in de Gen 5, Gen 6 en Gen 7 firewalls van SonicWall. De kwetsbaarheid is aanwezig in onderstaande versies van deze firewalls:

• SOHO (Gen 5): versie 5.9.2.14-12o en eerder
• Gen 6 firewalls: versie 6.5.4.14-109n en eerder
• Gen 7 firewalls: build 7.0.1-5035 en eerder

Daarnaast zijn SonicWall-devices kwetsbaar indien niet alle stappen zijn doorlopen die SonicWall beschrijft in het beveiligingsadvies, ook als wel gebruik gemaakt wordt van een recente versie van de software. Dit is voornamelijk van toepassing indien een upgrade heeft plaatsgevonden van Gen 6 naar Gen 7.

Oplossingen en tijdelijke mitigaties

SonicWall heeft op 22 augustus 2024 diverse nieuwe versies van SonicOS uitgebracht om de betreffende kwetsbaarheid te verhelpen. Wij raden dan ook aan z.s.m. de laatste versie van SonicOS te installeren op kwetsbare devices, mocht dit nog niet gebeurd zijn. Hoewel inmiddels mogelijk nieuwere versies van SonicOS beschikbaar zijn, dient de versie in ieder geval minimaal te voldoen aan onderstaande versienummers:

• SOHO (Gen 5): versie 5.9.2.14-13o of nieuwer
• Gen 6 firewalls: 6.5.2.8-2n (M9800, NSsp 12400, NSsp 12800) of 6.5.4.15.116n (overige Gen 6 firewalls) of nieuwer
• Gen 7 firewalls: versie >7.0.1-5035

Daarnaast raadt SonicWall gebruikers van Gen 5 en Gen 6 firewalls in combinatie met lokale accounts op deze systemen aan om de wachtwoorden op deze accounts te resetten door het inschakelen van de optie “User must change password” en gebruik te maken van multifactor-authenticatie voor alle SSL VPN-gebruikers (inclusief lokale accounts).

Naast het wijzigen van wachtwoorden, raadt SonicWall tevens aan om event logs voor SSL VPN-inlogactiviteit in te schakelen en lockout-mechanismen te implementeren om brute forcing van accounts te bemoeilijken.

Naar aanleiding van de recente aanvallen op SonicWall-devices, raadt SonicWall tenslotte ook aan gebruik te maken van ‘Botnet protection’ en ‘Geo-IP Filtering’, ongebruikte en inactieve accounts van het systeem te verwijderen en sterke wachtwoorden af te dwingen.

Detectie van mogelijk misbruik

Voor de initiële toegang breken de aanvallers in op de SSL VPN-service. Succesvolle inlogactiviteiten op de SSL VPN-service vanaf onbekende IP-adressen, vormen dan ook een indicatie van mogelijk misbruik. Dit is zeker het geval indien de inlogactiviteiten plaatsvinden vanaf een IP-adres waarvan bekend is dat deze in de aanvallen is ingezet. Zie voor een overzicht hiervan de afzonderlijke artikelen over deze aanvallen vanuit Huntress, Arctic Wolf en Field Effect.

In de bekende aanvallen maken de aanvallers – na initieel toegang te hebben verkregen – veelal misbruik van bekende technieken zoals het aanmaken van nieuwe accounts en het toekennen van “Domain Admin”-rechten aan accounts. Bestaande detectieregels kunnen daarom helpen om eventuele vervolgacties na de initiële compromittatie te herkennen.

Meer informatie

• https://www.sonicwall.com/support/notices/gen-7-sonicwall-firewalls-sslvpn-recent-threat-activity/250804095336430
• https://www.sonicwall.com/support/notices/gen-7-and-newer-sonicwall-firewalls-sslvpn-recent-threat-activity/250804095336430
• https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0015
• https://www.huntress.com/blog/exploitation-of-sonicwall-vpn
• https://arcticwolf.com/resources/blog/arctic-wolf-observes-july-2025-uptick-in-akira-ransomware-activity-targeting-sonicwall-ssl-vpn/
• https://fieldeffect.com/blog/akira-ransomware-targeting-sonicwall-vpn-appliances

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.

===== ENGLISH =====

Update August 7, 2025

In response to the recent attacks, SonicWall now concludes with a high degree of certainty that there is no new vulnerability in SonicWall devices. According to SonicWall, the current attacks are exploiting the previously known vulnerability CVE-2024-40766, which was already patched in August 2024. Pinewood issued a security bulletin about this in September 2024 after it became clear that the vulnerability was actively being exploited at that time, and not only via the management interface, but also through the SSL VPN functionality.

According to SonicWall, many of the incidents are caused by local account passwords not being reset during the migration from Gen 6 to Gen 7. This was an essential step that was also described in the original security advisory.

We have updated this security bulletin to reflect these latest findings.

Description

SonicWall has reported a recent increase in incidents targeting SonicWall Gen 7 firewalls, specifically on devices with SSL VPN functionality enabled. The attacks exploit CVE-2024-40766, a vulnerability that was patched in August 2024 and allows unauthorized access. Exploitation of the vulnerability began shortly after it became publicly known in 2024.

It appears that the recent incidents are mainly related to the Akira ransomware. After initially compromising an SSL VPN connection, the actors behind this ransomware quickly look for opportunities to gain elevated rights in the network and then activate the ransomware.

Vulnerable versions

The vulnerability exists in SonicWall Gen 5, Gen 6, and Gen 7 firewalls. The affected versions are:

• SOHO (Gen 5): version 5.9.2.14-12o and earlier
• Gen 6 firewalls: version 6.5.4.14-109n and earlier
• Gen 7 firewalls: build 7.0.1-5035 and earlier

Additionally, SonicWall devices remain vulnerable if not all the steps described in SonicWall’s security advisory have been followed — even if a recent software version is in use. This is particularly relevant when an upgrade from Gen 6 to Gen 7 has taken place.

Solutions and workarounds

On August 22, 2024, SonicWall released several new versions of SonicOS to patch the vulnerability. We therefore strongly recommend installing the latest version of SonicOS on vulnerable devices if this has not already been done. While newer versions may now be available, the minimum required versions are:

• SOHO (Gen 5): version 5.9.2.14-13o or later
• Gen 6 firewalls: 6.5.2.8-2n (M9800, NSsp 12400, NSsp 12800) or 6.5.4.15.116n (other Gen 6 firewalls) or later
• Gen 7 firewalls: version >7.0.1-5035

SonicWall also advises users of Gen 5 and Gen 6 firewalls who use local accounts on these systems to reset the passwords on these accounts by enabling the “User must change password” option and to use multi-factor authentication (MFA) for all SSL VPN users (including local accounts).

In addition to changing passwords, SonicWall also recommends enabling event logs for SSL VPN login activity, and implementing lockout mechanisms to make brute-force attacks more difficult.

In response to the recent attacks on SonicWall devices, SonicWall also recommends enabling ‘Botnet Protection’ and ‘Geo-IP Filtering’, removing unused and inactive accounts from the system, and enforcing the use of strong passwords.

Detection of possible misuse

For the initial access, the attackers break into the SSL VPN service. Successful login activities on the SSL VPN service from unknown IP addresses, therefore, indicate possible misuse. This is certainly the case if the login activities occur from an IP address known to have been deployed in the attacks. For an overview of this, see the separate articles on these attacks from Huntress, Arctic Wolf, and Field Effect.

In the known attacks, after initially gaining access, the attackers often exploit known techniques such as creating new accounts and assigning “Domain Admin” rights to accounts. Existing detection rules can therefore help to recognize any subsequent actions after the initial compromise.

More information

• https://www.sonicwall.com/support/notices/gen-7-sonicwall-firewalls-sslvpn-recent-threat-activity/250804095336430
• https://www.sonicwall.com/support/notices/gen-7-and-newer-sonicwall-firewalls-sslvpn-recent-threat-activity/250804095336430
• https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0015
• https://www.huntress.com/blog/exploitation-of-sonicwall-vpn
• https://arcticwolf.com/resources/blog/arctic-wolf-observes-july-2025-uptick-in-akira-ransomware-activity-targeting-sonicwall-ssl-vpn/
• https://fieldeffect.com/blog/akira-ransomware-targeting-sonicwall-vpn-appliances

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl.

Beschrijving

Het Pinewood SOC heeft de laatste dagen een sterke toename waargenomen in phishing-aanvallen die zich richt op inloggegevens voor Microsoft 365. De aanvallen volgen hierbij steeds eenzelfde patroon:

1. Het slachtoffer ontvangt een e-mail van een (meestal Nederlandse) derde partij wiens account eerder is gecompromitteerd. Deze e-mail bevat veelal de naam van de organisatie en bevat een link die verwijst naar het pad /drive op een steeds wisselend domein (bijvoorbeeld hxxps[:]//<phishdomain>/drive).
2. Na het klikken op de link komt de gebruiker uit bij een CloudFlare CAPTCHA die uiteindelijk leidt naar een neppe OneDrive-pagina waarop zogenaamd een “Shared file” wordt aangeboden. Zie het screenshot Neppe Onedrive-pagina.png in de bijlagen.
3. Na het invullen van inloggegevens stuurt de aanvaller het slachtoffer door naar een Actor-in-the-Middle (AitM) phishing-website waarmee de gebruiker uitkomt op de echte Microsoft 365 inlogpagina van de organisatie. De verbinding verloopt echter via de server van de aanvaller, waardoor de sessietokens onderschept worden. Deze phishing-website draait in veel gevallen op een .icu domein met daarin de tekst “securedoc”, zoals bijvoorbeeld hxxps[:]//login[.]securedoc5553[.]icu/. Zie ook het screenshot Phishing-pagina.png in de bijlage.
4. Na het inloggen via de AitM-website heeft de aanvaller nu de beschikking over de inloggegevens van het slachtoffer, inclusief eventuele tokens die gebruikt worden voor MFA-authenticatie. De aanvaller kan zich hierna bij Microsoft authenticeren op het account van het slachtoffer, zelfs als dit account beveiligd is middels MFA.

Voorkomen van misbruik

Om de kans op een succesvolle aanval te verkleinen is het voor een strakke inrichting van o.a. Conditional Access van groot belang. Denk hierbij aan het volgende:

• Verklein de standaard “sign-in frequency” van 90 dagen naar een kortere periode.
• Vereis dat gebruikers zich alleen kunnen aanmelden vanuit managed en compliant devices.
• Maak gebruik van de “location”-conditie waarmee het mogelijk is om eisen op te leggen m.b.t. de locatie van waaruit de gebruiker inlogt.
• Maak gebruik van Entra ID Protection Risk policies

Daarnaast kan het voor deze specifieke campagne helpen om eindgebruikers op de hoogte te stellen van hoe ze een aanval kunnen herkennen. Maak hiervoor gebruik van de kenmerken zoals beschreven aan het begin van dit bulletin.

Zie voor meer details over hoe je misbruik kunt voorkomen ook onze eerdere bulletin “Account compromise activity“ (september 2023).

Detectie van mogelijk misbruik

Er bestaan diverse manieren waarop de beschreven aanval is te herkennen. Wees in ieder geval alert op waarschuwingen die Microsoft Defender uitgeeft. De campagne die we nu zien, leidt in veel gevallen tot alarmen zoals:

• “Risky sign-in after clicking a possible AiTM phishing URL”;
• “A potentially malicious URL click was detected”; en
• “Unfamiliar sign-in properties”.

Als u bent aangesloten op het Pinewood SOC wordt op deze meldingen uiteraard actief gemonitord. Daarnaast monitoren we ook op de indicators of compromise van deze phishing-aanvallen vanuit onze verschillende CTI-bronnen.

Het Pinewood SOC heeft verder aanvullende detectiemechanismen waarmee dit type phishing-aanvallen kunnen worden gedetecteerd in een vroeg stadium. Klanten van het Pinewood SOC raden we daarom aan om aan te sluiten op de AitM Monitor indien dit nog niet gebeurd is.

Mitigatieadvies voor Gecompromitteerde Accounts

Op het moment dat een account in handen van een aanvaller valt, is het allereerst van groot belang om dit zo snel mogelijk vast te stellen. De schade is het kleinst als de aanvaller al snel weer de toegang tot een account kwijtraakt. Na het vaststellen van misbruik van een account raden wij aan om standaard een aantal stappen uit te voeren:

• Schakel het account in eerste instantie uit (disable account) zodat de aanvaller geen gebruik meer kan maken van het account. Verklaar tevens direct alle refresh tokens die aan het account hangen ongeldig zodat de aanvaller ook daar geen gebruik meer van kan maken.
• Ga ervanuit dat de aanvaller volledige controle heeft over de authenticatie-informatie van de gebruiker. Reset daarom het wachtwoord én controleer de verificatiemethoden (MFA) van de gebruiker. Verwijder alle verificatiemethoden waarover twijfel bestaat.
• Het is bekend dat aanvallers na een succesvolle inbraak op een account ook regelmatig mail forwarding rules aanmaken zodat zij toegang blijven houden tot de e-mails van een gebruiker, zelfs als zij de controle over het account zelf zijn kwijtgeraakt. Controleer daarom altijd alle mailbox rules en mailbox forwarding rules die op het account zijn geconfigureerd.
• In sommige gevallen slaagt een aanvaller er zelfs in om een eigen apparaat (device) te registreren op naam van de gebruiker welke vervolgens vertrouwd wordt. Controleer daarom ook of de lijst aan “enrolled devices” valide is.
• Controleer tot slot alle activiteiten die vanuit het account zijn uitgevoerd vanaf het moment dat dit account in handen van de aanvaller viel. Maak hiervoor gebruik van de uitgebreide audit-functionaliteiten die Microsoft biedt.

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.

===== ENGLISH =====

Description

The Pinewood SOC has observed a significant increase in phishing activity targeting Microsoft 365 credentials in recent days. The attacks follow a consistent pattern:

1. The victim receives an email from a (usually Dutch) third party whose account has previously been compromised. This email usually contains the name of the organization and includes a link pointing to the path /drive on an ever-changing domain (e.g., hxxps[:]//<phishdomain>/drive).
2. After clicking on the link, the user ends up with a CloudFlare CAPTCHA that eventually leads to a fake OneDrive page supposedly offering a “Shared file.” See the screenshot Neppe Onedrive-pagina.png in the attachments.
3. After entering login credentials, the attacker redirects the victim to an Actor-in-the-Middle (AitM) phishing website that takes the user to the organization’s real Microsoft 365 login page. However, the connection goes through the attacker’s server, intercepting the session tokens. In many cases, this phishing website runs on an .icu domain containing the text “securedoc,” such as hxxps[:]//login[.]securedoc5553[.]icu/. See also the screenshot Phishing-pagina.png attached.
4. After logging in via the AitM website, the attacker now has access to the victim’s login credentials, including any tokens used for MFA authentication. The attacker can then authenticate to Microsoft on the victim’s account, even if this account is secured using MFA.

Preventing Abuse

To reduce the likelihood of a successful attack, it is crucial to have a well-configured Conditional Access setup. Consider the following:

• Reduce the default “sign-in frequency” from 90 days to a shorter period.
• Require users to sign in only from managed and compliant devices.
• Use the “location” condition to impose requirements regarding the location from which the user logs in.
• Utilize Entra ID Protection Risk policies.

Additionally, for this specific campaign, it may help to inform end-users on how to recognize an attack. Use the characteristics described at the beginning of this bulletin.

For more details on how to prevent abuse, refer to our previous bulletin “Account compromise activity” (September 2023).

Detecting Possible Abuse

There are several ways in which the described attack can be recognized. In any case, be alert to alerts issued by Microsoft Defender. The campaign we’re observing often leads to alerts such as:

• “Risky sign-in after clicking a possible AiTM phishing URL”;
• “A potentially malicious URL click was detected”; and
• “Unfamiliar sign-in properties.”

Of course, if you are a SOC customer, these notifications are actively monitored. In addition, we also monitor for indicators of compromise of these phishing attacks based on our various CTI sources.

The Pinewood SOC has additional controls to detect AitM phishing attacks at an early stage. We therefore recommend that Pinewood SOC customers connect to the AitM Monitor if they have not done so already.

Advice for Mitigation of Account Compromise

If an account falls into the hands of an attacker, it is crucial to identify this as quickly as possible. The damage is minimized if the attacker loses access to the account soon after. Upon detecting account abuse, we recommend performing the following standard steps:

• Initially disable the account so the attacker can no longer use it. Also, immediately invalidate all refresh tokens associated with the account to prevent the attacker from using them.
• Assume the attacker has full control over the user’s authentication information. Therefore, reset the user’s password and check the configured verification methods (MFA). Remove any MFA methods that look suspicious.
• It is known that attackers often create mail forwarding rules after successfully compromising an account to maintain access to the user’s emails, even if they lose control of the account itself. Always check all mailbox rules and mailbox forwarding rules configured on the account.
• In some cases, an attacker may even register their own device in the user’s name, which is then trusted. Always check if the list of “enrolled devices” is valid.
• Finally, review all activities performed from the account since it fell into the attacker’s hands. Use the extensive audit functionalities provided by Microsoft for this purpose.

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl.