UPDATE: Pinewood Security Bulletin – FortiOS critical vulnerability in SSL-VPN – FG-IR-22-398 – CVE-2022-42475
For English, see below
|

UPDATE: Pinewood Security Bulletin – FortiOS critical vulnerability in SSL-VPN – FG-IR-22-398 – CVE-2022-42475
For English, see below
|
UPDATE: Pinewood Security Bulletin – Microsoft Exchange 0-Day Kwetsbaarheden
For English, see below Update Uit een recent onderzoek van CrowdStrike is gebleken dat de eerder aanbevolen mitigerende maatregelen omtrent twee 0-day kwetsbaarheden in Microsoft Exchange kunnen worden omzeild en dus niet langer bescherming bieden tegen het misbruik van CVE-2022-41080 en CVE-2022-41082. Tevens lijkt deze nieuwe aanvalsmethodiek momenteel actief te worden toegepast in recente Play ransomware incidenten. Beschrijving Er zijn twee actief misbruikte 0-Day kwetsbaarheden voor verschillende versies van Microsoft Exchange Server bekend. Een 0-Day kwetsbaarheid is een kwetsbaarheid die onbekend is voor de ontwikkelaar van de betreffende software en waar geen beveiligingsupdate voor beschikbaar is. De eerste kwetsbaarheid die gekenmerkt wordt als CVE-2022-41040 is een Server-Side Request Forgery (SSRF) kwetsbaarheid die een aanvaller in staat stelt om een onbedoelde functionaliteit van een kwetsbare webapplicatie aan te roepen. De tweede kwetsbaarheid die gekenmerkt wordt als CVE-2022-41082 stelt een aanvaller in staat om Remote Code Execution (RCE) uit te voeren wanneer deze toegang heeft tot PowerShell. Belangrijk om te weten is dat een potentiële aanvaller geauthentiseerd op de kwetsbare Exchange Server dient te zijn alvorens de kwetsbaarheden in kwestie kunnen worden misbruikt. Kwetsbare versies Onderstaande producten van Microsoft zijn getroffen door de eerdergenoemde kwetsbaarheden:
Gebruikers van Microsoft Exchange Online hoeven geen actie te ondernemen. Oplossing en workarounds Pinewood adviseert dringend om eventuele kwetsbare Microsoft Exchange Servers zo spoedig mogelijk te voorzien van de meest recente beveiligingsupdate. Indien de Microsoft Exchange Server tot op heden kwetsbaar is en ter bescherming gebruik heeft gemaakt van de eerder aanbevolen mitigerende maatregelen is het raadzaam om het door CrowdStrike ontwikkelde PowerShell script Rps_Http-IOC.ps1 uit te voeren om eventuele indicators of compromise aan het licht te brengen. Bronvermelding
Vragen Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 261 36 33) of via e-mail soc@pinewood.nl. =====ENGLISH VERSION======== Update CrowdStrike recently discovered a new exploit method to abuse the two 0-Day vulnerabilities in Microsoft Exchange, bypassing the previously recommended URL rewrite mitigations for both CVE-2022-41080 and CVE-2022-4108. The discovery was part of recent CrowdStrike Services into several Play ransomware intrusions where the common entry vector was confirmed to be Microsoft Exchange. Description Two actively exploited 0-Day vulnerabilities in Microsoft Exchange have been reported. A 0-Day vulnerability is a vulnerability that was previously unknown to the developers of the software in question and has no security update available. The first vulnerability, identified as CVE-2022-41040, is a Server-Side Request Forgery (SSRF) vulnerability which allows an attacker to invoke unintended functionality of a vulnerable web application. The second vulnerability identified as CVE-2022-41082 allows an attacker to perform Remote Code Execution (RCE) when PowerShell is accessible. Do note that authenticated access to the vulnerable Exchange Server is necessary to successfully exploit either of the two vulnerabilities. Vulnerable versions The following products of Microsoft are vulnerable for the vulnerabilities in question:
Customers of Microsoft Exchange Online do not need to take any action. Solutions and workarounds Pinewood strongly recommends updating vulnerable Microsoft Exchange Servers with the latest security update as soon as possible. If the Microsoft Exchange Server is currently vulnerable and has used the previously recommended mitigation measures to protect it, it is recommended that you run the PowerShell script Rps_Http-IOC.ps1 developed by CrowdStrike to reveal any possible indicators of compromise. Extra info
Questions For questions related to these vulnerabilitie(s), please contact the Pinewood Servicedesk (015 261 36 33) or via e-mail soc@pinewood.nl. |
Pinewood Security Bulletin – FortiOS critical vulnerability in SSL-VPN
For English, see below
|
De tweede generatie van de Europese Network and Information Systems (NIS 2) richtlijn zal in 2023 in Nederland om worden gezet in wetgeving. De richtlijn bouwt voort op de oorspronkelijke NIS-richtlijn uit 2016. Het doel was toen om eenheid te brengen in het Europees beleid voor netwerk- en informatiebeveiliging om zo de gevolgen van cyberincidenten te verkleinen, met name gericht op bedrijven en instellingen van cruciale aard. De NIS 2 richtlijn bouwt hierop verder en voegt meer sectoren toe aan deze ‘essentiële diensten’. Het moet ervoor zorgen dat organisaties binnen Europa aan de richtlijn gaan voldoen. Maar wat betekent dit voor Nederlandse organisaties?
Allereerst is het goed om het verschil tussen de NIS 2 en de NIB 2 te begrijpen. Gelukkig is dit geen ingewikkeld verhaal, de NIB 2 is namelijk gewoon de Nederlandse vertaling van de NIS 2. Dus of het nu gaat over de network and information systems richtlijn of de netwerk- en informatiebeveiliging richtlijn, de inhoud is grotendeels hetzelfde. Wel is er tijdens het vertalen van de Europese richtlijn naar Nederlandse wetgeving ruimte voor vrije interpretatie. De overheid is momenteel druk bezig met die vertaalslag, dus hoe de wet er precies uit gaat zien is nog even afwachten.
Wel kunnen we er alvast vanuit gaan dat de kern van de richtlijn grotendeels hetzelfde blijft. Deze kern bestaat uit twee elementen: de zorgplicht en de meldplicht. De zorgplicht verplicht organisaties om ervoor te zorgen dat de hele infrastructuur op orde is. Zo wordt het verplicht om de faciliteiten te hebben om te monitoren wat er gebeurt op het netwerk. De meldplicht zorgt ervoor dat organisaties melding moeten maken wanneer ze te maken krijgen met een cyberincident. Voor alle organisaties die gezien worden als leverancier van ‘essentiële diensten’ zal er dus (veel) werk aan de winkel zijn.
Het ziet er dus naar uit dat organisaties in allerlei sectoren maatregelen moeten gaan treffen om de cybersecurity-volwassenheid naar een hoger niveau te brengen. De exacte hoogte van dit volwassenheidsniveau zal nog worden bepaald door de Nederlandse overheid. Dit kan bijvoorbeeld gelijk worden getrokken met de norm waaraan overheidsinstellingen momenteel moeten voldoen, maar er kunnen ook andere regels gaan gelden. De details moeten uiteindelijk blijken uit de resulterende wetgeving, net zoals de wet beveiliging netwerk en informatiesystemen een interpretatie is van originele NIS-richtlijn.
De noodzaak om de cyberweerbaarheid van essentiële diensten te vergroten is voor de hand liggend. Over de afgelopen jaren zien we een stijgende lijn in het aantal organisaties dat te maken heeft met cyberaanvallen. Daarnaast zien we ook een flinke stijging in de schade en impact van een succesvolle aanval. De NIS 2 richtlijn is daarom in het leven geroepen om de continuïteit en integriteit van een aantal vitale sectoren te waarborgen.
Onder de originele NIS vielen sectoren zoals energie, drinkwater en banken. De NIS 2 breidt het lijstje met vitale sectoren aardig uit met onder andere overheidsdiensten, levensmiddelen en managed service providers. In Nederland zal dit neerkomen op zo’n zesduizend extra organisaties die moeten gaan voldoen aan de nieuwe wetgeving. Op dit moment wordt er nog flink gediscussieerd over welke bedrijven hier onder vallen en welke niet. Zo staat er nog niet vast welke definitie van een managed service provider er gehanteerd zal gaan worden.
De verwachting is dat de NIS eind dit jaar wordt vastgesteld op Europees niveau. Zodra dit rond is hebben de lidstaten 21 maanden de tijd om de wetgeving rond te krijgen. Dat klinkt misschien lang, maar voor een wet van dit formaat is dat een redelijk korte termijn.
De NIS 2 is een grote stap in de goede richting als het om cybersecurity gaat. Wel valt er een bepaalde mate van vrijheid weg. Momenteel is het cybersecurity-landschap onder bedrijven erg gefragmenteerd. Bedrijven kiezen zelf in welke mate ze iets aan cybersecurity doen of niet. Door een richtlijn te implementeren neem je deze vrijheid weg, maar je weet wel zeker dat delen van de infrastructuur goed beveiligd zijn.
De meldplicht zal de cyberweerbaarheid verhogen. In de huidige situatie hoeft een organisatie alleen melding te doen van een datalek, maar niet van bijvoorbeeld een ransomware-aanval of misbruik van een kwetsbaarheid. Dit gaat dus veranderen.
Doordat informatie over een cyberaanval gemeld en gedeeld wordt, kunnen bedrijven makkelijker leren van elkaar hoe ze hun beveiliging optimaal in kunnen richten.
Maar ook de zorgplicht zal het een en ander gaan vragen van organisaties. Afhankelijk van de huidige infrastructuur moet er wellicht veel gebeuren om te voldoen aan de norm die uiteindelijk in de wet wordt opgenomen. Er kan bijvoorbeeld geëist worden dat bedrijven moeten voldoen aan de ISO 27001 norm. Dit zal voor veel bedrijven betekenen dat ze flink moeten gaan investeren. Er wordt gesproken over een omzetplafond dat kleinere bedrijven hiervan vrijstelt, maar deze organisaties lopen dan nog net zoveel risico als voorheen.
Organisaties waarop de NIS 2 van toepassing is, krijgen dus aardig wat voor hun kiezen. De verschillende plichten vragen veel investeringen. Zo is een belangrijk onderdeel van de zorgplicht het monitoren van de systemen. Dit gebeurt doorgaans in een Security Operation Center (SOC) maar om dit in te richten is veel apparatuur en, nog lastiger, personeel nodig. Voor veel organisaties zal het dan ook interessant zijn om dit uit te besteden aan een partij die een SOC als dienst aanbiedt. Op deze manier kan een organisatie voldoen aan de nieuwe zorgplicht, zonder een heel SOC op te hoeven zetten. Daarnaast bieden deze cybersecurity-partijen vaak aanvullende diensten om de cyberweerbaarheid te vergroten.
Maar ook wanneer een organisatie niet binnen de scope van de NIS 2 valt, is het verstandig om op te letten. Het feit dat je niet aangemerkt wordt als vitale sector betekent niet dat je minder risico loopt. Ook deze organisaties kunnen veel leren van de plichten en eisen die in de nieuwe wet zullen worden opgenomen. De NIS kan dan werken als vliegwiel en andere organisatie meekrijgen, waardoor heel Nederland er sterker voor komt te staan op het gebied van cybersecurity.
De NIS 2 is onvermijdelijk en het is daarom belangrijk om te kijken of je als organisatie binnen de scope valt. Als dat zo is, dan is het verstandig om zo snel mogelijk aan de slag te gaan want het kan veel tijd kosten om uit te zoeken wat de nieuwe wet voor jou gaat betekenen. Een eerste stap die je als bedrijf nu al kan zetten is het in kaart brengen van je cyberbeveiliging-volwassenheidsniveau en de mate van risicobeheersing. Heb je al een informatiebeveiligingsbeleid? Weten medewerkers wat hun rol is? Weten ze hoe ze phishing e-mails kunnen herkennen? Door er nu serieus mee aan de slag te gaan, voorkom je verrassingen wanneer de wet in werking treedt.
Wilt u meer weten of hulp bij de inrichting van NIS 2 (NIB 2) vraagstukken. Neem dan contact met ons op voor een vrijblijvend advies gesprek.
Citrix heeft updates uitgebracht voor Citrix ADC en Citrix Gateway waarmee drie kwetsbaarheden worden verholpen, waarvan één kritiek. De kritieke kwetsbaarheid (CVE-2022-27510) stelt een kwaadwillende op afstand in staat om de authenticatie op het systeem te omzeilen en hiermee toegang te verkrijgen tot gebruikersmogelijkheden. Nadere details m.b.t. de kwetsbaarheid zijn niet bekend. Aanvallers kunnen de kwetsbaarheid alleen misbruiken indien de appliance is geconfigureerd als een VPN (SSL-VPN of ICA proxy met authenticatie ingeschakeld). Dit laatste is een vrij gangbare configuratie voor dit type devices.
Kwetsbare versies
De kwetsbaarheid bevindt zich in onderstaande versies van Citrix ADC en Citrix Gateway:
Citrix ADC en Citrix Gateway 13.1, ouder dan versie 13.1-33.47
Citrix ADC en Citrix Gateway 13.0, ouder dan versie 13.0-88.12
Citrix ADC en Citrix Gateway 12.1, ouder dan versie 12.1.65.21
Citrix ADC 12.1-FIPS, ouder dan versie 12.1-55.289
Citrix ADC 12.1-NDcPP, ouder dan versie 12.1-55.289
Versies eerder dan 12.1 zijn reeds End-of-Life (EoL) maar bevatten dezelfde kwetsbaarheid ook. Indien een dergelijke versie van ADC en/of Gateway in gebruik is, is een upgrade naar een ondersteunde versie (12.1 of nieuwer) noodzakelijk.
Alleen gebruikers met een self-managed installatie van deze producten dienen actie te ondernemen. In het geval gebruikgemaakt wordt van een Citrix-managed cloud service, is er geen actie vereist.
Oplossing en workarounds
Organisaties die een kwetsbare Citrix-appliance met VPN-functionaliteit gebruiken, wordt dringend aangeraden zo spoedig mogelijk de door Citrix uitgebrachte updates te installeren. Het betreft onderstaande updates:
Citrix ADC en Citrix Gateway 13.1: update 13.1-33.47
Citrix ADC en Citrix Gateway 13.0: update 13.0-88.12
Citrix ADC en Citrix Gateway 12.1: update 12.1-65.21
Citrix ADC 12.1-FIPS 12.1: update 12.1-55.289
Citrix ADC 12.1-NDcPP 12.1: update 12.1-55.28
Meer informatie
Citrix security bulletin: https://support.citrix.com/article/CTX463706/citrix-gateway-and-citrix-adc-security-bulletin-for-cve202227510-cve202227513-and-cve202227516
Vragen
Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 261 36 33) of via e-mail soc@pinewood.nl.
=====ENGLISH VERSION========
Description
Citrix released updates for Citrix ADC and Citrix Gateway to resolve three vulnerabilities, one of which is rated critical. The critical vulnerability (CVE-2022-27510) allows a remote attacker to bypass authentication and access user capabilities without authentication. Further details on the vulnerability are not yet available. The vulnerability can only be exploited if the appliance is configured for VPN services (SSL-VPN or ICA proxy with authentication). This is a quite common configuration for this type of devices.
Vulnerable versions
The vulnerability exists in the following versions of Citrix ADC and Citrix Gateway:
Citrix ADC and Citrix Gateway 13.1, before version 13.1-33.47
Citrix ADC and Citrix Gateway 13.0, before version 13.0-88.12
Citrix ADC and Citrix Gateway 12.1, before version 12.1.65.21
Citrix ADC 12.1-FIPS, before version 12.1-55.289
Citrix ADC 12.1-NDcPP, before version 12.1-55.289
Versions before 12.1 were already end-of-life (EoL) but are vulnerable as well. If such a version of Citrix ADC and/or Citrix Gateway is in use, an upgrade to a supported version (12.1 or later) is required.
Only organizations with a self-managed installation of these products need to take action. Users of Citrix-managed cloud services do not need to take action.
Solutions and workarounds
Organizations using a vulnerable Citrix appliance with VPN functionalities are advised to install the released updates as soon as possible. Below is an overview of the updates that were released by Citrix:
Citrix ADC and Citrix Gateway 13.1: update 13.1-33.47
Citrix ADC and Citrix Gateway 13.0: update 13.0-88.12
Citrix ADC and Citrix Gateway 12.1: update 12.1-65.21
Citrix ADC 12.1-FIPS 12.1: update 12.1-55.289
Citrix ADC 12.1-NDcPP 12.1: update 12.1-55.289
Additional info
Citrix security bulletin: https://support.citrix.com/article/CTX463706/citrix-gateway-and-citrix-adc-security-bulletin-for-cve202227510-cve202227513-and-cve202227516
Questions
For questions related to these vulnerabilitie(s), please contact the Pinewood Servicedesk (015 261 36 33) or via e-mail soc@pinewood.nl.
Beschrijving
Het OpenSSL Project team heeft op dinsdag 25 oktober 2022 een vooraankondiging gedaan over een kritieke kwetsbaarheid in OpenSSL 3.x zonder daarbij verdere details te vermelden. Binnen het OpenSSL project wordt een eigen risicoclassificering gebruikt. Een kritieke kwetsbaarheid betreft een veelvoorkomende configuratie die waarschijnlijk te misbruiken is. Voorbeelden zijn het uitlezen van het werkgeheugen van de server, het achterhalen van de geheime certificaat-sleutels, en het uitvoeren van van code op de server (remote code execution, RCE).
Op dinsdag 1 november 2022 omstreeks 16:30 is bekendgemaakt dat deze kwetsbaarheid een buffer overrun betreft in het valideren van e-mailadressen in certificaten. Deze validatie vindt echter pas plaats nadat de digitale handtekening van het bovenliggende certificaat is gecontroleerd en vereist dus dat de aanvaller gebruikmaakt van een digitaal certificaat dat is ondertekend/uitgegeven door een vertrouwde/ondersteunde Certificate Authority (CA). Een aanvaller kan een malafide e-mailadres opnemen in een certificaat om in totaal vier bytes te overlopen op de stack. Deze buffer overflow kan resulteren in een Denial of Service (DOS) en zou in theorie kunnen leiden tot Remote Code Execution (RCE). De exacte impact is sterk afhankelijk van het platform waarop de kwetsbaarheid wordt misbruikt; zo hebben diverse onderzoekers aangegeven dat op veel platformen deze buffer overrun niet kan worden uitgebuit vanwege platform-afhankelijke beperkingen/maatregelen.
Mede door de eerdergenoemde onderzoeksuitkomsten, is de bekendmaking van de kwetsbaarheid gepaard gegaan met het verlagen van de initiële risicoclassificatie ‘Kritiek’ naar uiteindelijk ‘Hoog’.
Kwetsbare versies
De kwetsbaarheden bevinden zich in versie 3 van OpenSSL, specifiek versie 3.0.0 t/m 3.0.6. Oudere versies van OpenSSL (versie 1) bevatten deze kwetsbaarheden dus niet. Houd er wel rekening mee dat bij OpenSSL versie 1 alleen OpenSSL 1.1.1 nog wordt ondersteund en dat dit niet geldt voor oudere versies (1.0.X).
Het is zeer goed mogelijk dat OpenSSL binnen de organisatie in gebruik is als onderdeel van bijvoorbeeld een besturingssysteem, netwerkcomponent, appliance of applicatie. Aangezien OpenSSL versie 3 relatief kortgeleden is uitgebracht (September 2021), zijn de meeste toepassingen nog gebaseerd op versie 1 van OpenSSL. Om vast te kunnen stellen of toepassingen binnen de infrastructuur gebruikmaken van een kwetsbare versie van OpenSSL, raden wij aan het uitgebreide – en steeds groeiende overzicht – te monitoren dat het Nederlandse Nationaal Cyber Security Centrum (NCSC) bijhoudt op https://github.com/NCSC-NL/OpenSSL-2022/tree/main/software.
Oplossing en workarounds
OpenSSL heeft versie 3.0.7 uitgebracht om de kwetsbaarheid te verhelpen. Deze broncode-patch moet verwerkt worden in de verschillende producten die gebruikmaken van deze bibliotheek. Maak daarom gebruik van de patch/update die uitgebracht is door de leverancier van het product (indien deze reeds beschikbaar is).
De kwetsbaarheden kunnen op servers alleen worden misbruikt indien deze gebruikmaken van authenticatie op basis van digitale (X.509) client-certificaten. Als workaround noemt OpenSSL de mogelijkheid om deze authenticatie (tijdelijk) uit te schakelen; deze afweging zal situatie-afhankelijk genomen moeten worden aangezien het uitschakelen hiervan mogelijk nog grotere risico’s introduceert.
Meer informatie
OpenSSL advisory: https://mta.openssl.org/pipermail/openssl-announce/2022-November/000241.html
OpenSSL blog: https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
Vragen
Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 750 36 33) of via e-mail soc@pinewood.nl.
=====ENGLISH VERSION========
Description
On Tuesday the 25th of October 2022, the OpenSSL Project team made an announcement about a critical vulnerability in OpenSSL 3.x without providing any details. A critical vulnerability affects common configurations and is also likely to be exploitable. Examples include significant disclosure of the contents of server memory (potentially revealing user details), vulnerabilities which can be easily exploited remotely to compromise server private keys or where remote code execution is considered likely in common situations.
On Tuesday the 1st of November at around 16:30 CEST, the OpenSSL Project team provided details on the previously announced vulnerability. A buffer overrun can be triggered in X.509 certificate verification, specifically in name constraint checking. Note that this occurs after certificate chain signature verification and requires either a Certificate Authority (CA) to have signed the malicious certificate or for the application to continue certificate verification despite failure to construct a path to a trusted issuer. An attacker can craft a malicious email address to overflow four attacker-controlled bytes on the stack. This buffer overflow could result in a crash causing a Denial of Service (DoS) or potentially Remote Code Execution (RCE). However, the exact impact is highly dependent on the platform on which the vulnerability is being exploited. Several researchers have indicated that on many platforms this buffer overrun cannot be exploited due to platform-dependent restrictions.
Partly due to the aforementioned research results, the disclosure of the vulnerability was accompanied by a lowering of the initial risk classification from ‘Critical’ to ‘High’.
Vulnerable versions
The vulnerabilities exist in OpenSSL version 3, specifically version 3.0.0 – 3.0.6. Older versions of OpenSSL (version 1) are not vulnerable. Keep in mind that with OpenSSL version 1 only OpenSSL 1.1.1 is still actively supported and not older versions (1.0.X).
OpenSSL is possibliy in use within the organisation as part of e.g. an operating system, network component, appliance or application. Because OpenSSL version 3 was released quite recently (September 2021), most systems will still be using OpenSSL version 1. To determine if vulnerable versions of OpenSSL are in use within the infrastructure, we advise you to closely monitor the extensive – and continuously expanding – overview administered by the Dutch National Cyber Security Center at https://github.com/NCSC-NL/OpenSSL-2022/tree/main/software.
Solutions and workarounds
OpenSSL released version 3.0.7 to fix the vulnerability. This is a source code patch that needs to be compiled into the different products that make use of this library. We therefore advise you to install the patch/update released by the vendor of the product (if available).
The vulnerabilities can only be exploited on servers if these are configured for client authentication based on (X.509) digital client certificates. As a workaround, OpenSSL proposes to (temporarily) disable this type of authentication; as doing this might introduce even greater risks, this workaround should only be implemented if this is appropriate for the specific environment.
Extra info
OpenSSL advisory: https://mta.openssl.org/pipermail/openssl-announce/2022-November/000241.html
OpenSSL blog: https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
Questions
For questions related to these vulnerabilitie(s), please contact the Pinewood Servicedesk (015 750 36 33) or via e-mail soc@pinewood.nl.
inewood Security Bulletin – Kwetsbaarheid in Apache Commons Text
For English, see below Beschrijving Er is een kwetsbaarheid (CVE-2022-42889) ontdekt in Apache Commons Tekst. De kwetsbaarheid stelt een ongeauthenticeerde kwaadwillende op afstand mogelijk in staat om willekeurig code uit te voeren. De kwetsbaarheid bevindt zich in de functionaliteit verantwoordelijk voor string interpolatie. Drie typen filters kunnen hier mogelijk misbruikt worden, namelijk “script”, “dns” en “url”. Een Proof-Of-Concept code is gepubliceerd die aantoont hoe de kwetsbare functionaliteit kan worden misbruikt. Hoewel de kwetsbaarheid overeenkomsten vertoont met een soortgelijke kwetsbaarheid in Apache Log4j (Log4Shell), is het aanvalsoppervlak beperkter vanwege de specifieke toepassing van Commons Text ten opzichte van Log4j. Kwetsbare versies De kwetsbaarheid is aanwezig in de versies 1.5 t/m 1.9. Tevens geven beveiligingsonderzoekers aan dat de kwetsbaarheid niet te misbruiken is wanneer de applicatie gebruikt maakt van (Open)JDK versie 15 of nieuwer. Echter, het NCSC heeft dit nog niet zelf kunnen bevestigen. Oplossing en workarounds De Apache Foundation heeft updates uitgebracht om de kwetsbaarheid te verhelpen in Commons Tekst 1.10.0. Meer informatie https://www.rapid7.com/blog/post/2022/10/17/cve-2022-42889-keep-calm-and-stop-saying-4shell/ Vragen Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 750 36 33) of via e-mail soc@pinewood.nl. =====ENGLISH VERSION======== Description A vulnerability (CVE-2022-42889) has been discovered in Apache Commons Text. The vulnerability potentially allows an unauthenticated malicious person to perform Remote Code Execution. The vulnerability is in the functionality responsible for string interpolation. Three types of filters could potentially be abused here: “script”, “dns” and “url”. A Proof-Of-Concept code has been published that shows how the vulnerable functionality can be exploited. Although the vulnerability has similarities to a similar vulnerability in Apache Log4j (Log4Shell), the attack surface is more limited due to the specific application of Commons Text compared to Log4j. Vulnerable versions The vulnerability is present in versions 1.5 to 1.9. Also, security researchers indicate that the vulnerability cannot be exploited when the application uses (Open)JDK version 15 or newer. However, the NCSC has not yet been able to confirm this. Solutions and workarounds The Apache Foundation has released updates to fix the vulnerability in Commons Text 1.10.0. Extra info https://www.rapid7.com/blog/post/2022/10/17/cve-2022-42889-keep-calm-and-stop-saying-4shell/ Questions For questions related to these vulnerabilitie(s), please contact the Pinewood Servicedesk (015 750 36 33) or via e-mail soc@pinewood.nl. |
Update
Pinewood is bekend met publieke berichten over een (mogelijke) kwetsbaarheid in de HTTPS management interface in FortiOS versies 7.0/7.2. Op dit moment is er beperkte informatie publiek beschikbaar over de exacte kwetsbaarheid. Op dit moment geven wij daarom het advies tijdelijke maatregelen te nemen en verdere berichtgeving af te wachten. Wanneer meer informatie bekend is zal een nieuwe security bulletin worden verstuurd.
Kwetsbare versies:
Voor zover publiek bekend gaat het om de volgende versies:
FortiOS 7.0.0 t/m 7.0.6
FortiOS 7.2.0 t/m 7.2.1
Oplossing en workarounds
Er is zijn updates beschikbaar waar de kwetsbaarheid in verholpen is. Het probleem is verholpen in FortiOS 7.0.7 en 7.2.2.
Mocht de upgrade niet direct mogelijk zijn raden wij aan om als workaround de HTTPS management interface uit te schakelen.
Meer informatie: https://old.reddit.com/r/fortinet/comments/xxfn02/disable_your_management_interface_access_from_the/
Pinewood Managed Security Services
Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden.
Vragen
Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 750 36 33) of via e-mail soc@pinewood.nl.
=====ENGLISH VERSION========
Description
Pinewood is aware of public reports of a vulnerability in the HTTPS management interface in FortiOS versions 7.0/7.2. Currently there is limited information publicly available about the exact vulnerability. At this time, we therefore recommend taking temporary measures and awaiting further reports. A new security bulletin will be issued when more information is known.
Vulnerable versions
Based on public information the vulnerability concerns the following versions:
FortiOS 7.0.0-7.0.6
FortiOS 7.2.0-7.2.1
Solutions and workarounds
An update is already available that fixes this vulnerability. The issue has been fixed in FortiOS 7.0.7 and 7.2.2.
Should the upgrade not be immediately possible, we recommend to disable the HTTPS management interface.
Extra info
https://old.reddit.com/r/fortinet/comments/xxfn02/disable_your_management_interface_access_from_the/
Pinewood Managed Security Services
If you have a Pinewood Managed Security Services contract, no action is necessary. Pinewood takes the necessary measures to protect your environment from these vulnerabilities.
Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 750 36 33) of via e-mail soc@pinewood.nl.
Update
Pinewood is bekend met publieke berichten over een (mogelijke) kwetsbaarheid in de HTTPS management interface in FortiOS versies 7.0/7.2. Op dit moment is er beperkte informatie publiek beschikbaar over de exacte kwetsbaarheid. Op dit moment geven wij daarom het advies tijdelijke maatregelen te nemen en verdere berichtgeving af te wachten. Wanneer meer informatie bekend is zal een nieuwe security bulletin worden verstuurd.
Kwetsbare versies:
Voor zover publiek bekend gaat het om de volgende versies:
FortiOS 7.0.0 t/m 7.0.6
FortiOS 7.2.0 t/m 7.2.1
Oplossing en workarounds
Er is zijn updates beschikbaar waar de kwetsbaarheid in verholpen is. Het probleem is verholpen in FortiOS 7.0.7 en 7.2.2.
Mocht de upgrade niet direct mogelijk zijn raden wij aan om als workaround de HTTPS management interface uit te schakelen.
Meer informatie: https://old.reddit.com/r/fortinet/comments/xxfn02/disable_your_management_interface_access_from_the/
Pinewood Managed Security Services
Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden.
Vragen
Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 750 36 33) of via e-mail soc@pinewood.nl.
=====ENGLISH VERSION========
Description
Pinewood is aware of public reports of a vulnerability in the HTTPS management interface in FortiOS versions 7.0/7.2. Currently there is limited information publicly available about the exact vulnerability. At this time, we therefore recommend taking temporary measures and awaiting further reports. A new security bulletin will be issued when more information is known.
Vulnerable versions
Based on public information the vulnerability concerns the following versions:
FortiOS 7.0.0-7.0.6
FortiOS 7.2.0-7.2.1
Solutions and workarounds
An update is already available that fixes this vulnerability. The issue has been fixed in FortiOS 7.0.7 and 7.2.2.
Should the upgrade not be immediately possible, we recommend to disable the HTTPS management interface.
Extra info
https://old.reddit.com/r/fortinet/comments/xxfn02/disable_your_management_interface_access_from_the/
Pinewood Managed Security Services
If you have a Pinewood Managed Security Services contract, no action is necessary. Pinewood takes the necessary measures to protect your environment from these vulnerabilities.
Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 750 36 33) of via e-mail soc@pinewood.nl.
UPDATE: Pinewood Security Bulletin – Microsoft Exchange 0-Day Kwetsbaarheden
Uit onderzoek is gebleken dat de eerder aanbevolen handelingen die bescherming boden tegen de bekende aanvalsmethode kunnen worden omzeild. Pinewood wil dan ook dringend adviseren om de eerder aangemaakte URL Rewrite te verwijderen en de volgende handelingen uit te voeren:
Let op dat het door Microsoft beschikbaar gestelde PowerShell script (EOMTv2.ps1) op het moment van schrijven nog steeds de oude reguliere expressie bevat en daarom geen bescherming biedt.
Het PowerShell script in kwestie is te vinden op de volgende GitHub repository afkomstig van Microsoft:
Daarnaast heeft Microsoft voor alle gebruikers van Exchange Server inmiddels het aanvullende advies uitgebracht om Remote PowerShell uit te zetten voor alle gebruikersaccounts in de organisatie die geen administrator zijn.
Voor meer informatie over het uitzetten van Remote PowerShell per gebruikersaccount of voor een groep gebruikersaccounts, zie de volgende documentatie afkomstig van Microsoft:
Bronnen
Beschrijving
Er zijn twee actief misbruikte 0-Day kwetsbaarheden voor verschillende versies van Microsoft Exchange Server bekend. Een 0-Day kwetsbaarheid is een kwetsbaarheid die onbekend is voor de ontwikkelaar van de betreffende software en waar geen beveiligingsupdate voor beschikbaar is.
De eerste kwetsbaarheid die gekenmerkt wordt als CVE-2022-41040 is een Server-Side Request Forgery (SSRF) kwetsbaarheid die een aanvaller in staat stelt om een onbedoelde functionaliteit van een kwetsbare webapplicatie aan te roepen.
De tweede kwetsbaarheid die gekenmerkt wordt als CVE-2022-41082 stelt een aanvaller in staat om Remote Code Execution (RCE) uit te voeren wanneer deze toegang heeft tot PowerShell.
Belangrijk om te weten is dat een potentiële aanvaller geauthentiseerd op de kwetsbare Exhange Server dient te zijn alvorens de kwetsbaarheden in kwestie kunnen worden misbruikt.
Kwetsbare versies
Onderstaande producten van Microsoft zijn getroffen door de eerdergenoemde kwetsbaarheden:
Gebruikers van Microsoft Exchange Online hoeven geen actie te ondernemen.
Oplossing en workarounds
Op het moment van schrijven is er geen beveiligingsupdate beschikbaar. Microsoft heeft kennisgenomen van de betreffende kwetsbaarheden en is bezig met het ontwikkelen van een remedie. Tot die tijd bieden de volgende handelingen bescherming tegen de op dit moment bekende aanvalsmethode:
Tot op heden heeft de URL Rewrite module geen impact op de functionaliteit van Exchange Servers.
Let op dat het door Microsoft beschikbaar gestelde PowerShell script (EOMTv2.ps1) op het moment van schrijven nog steeds de oude reguliere expressie bevat en daarom geen bescherming biedt.
Het PowerShell script in kwestie is te vinden op de volgende GitHub repository afkomstig van Microsoft:
Geauthentiseerde aanvallers met toegang tot PowerShell Remoting op kwetsbare Exchange Servers zijn in staat om Remote Code Execution (RCE) uit te voeren door middel van CVE-2022-41082. Door onderstaande poorten bijbehorend aan Remote PowerShell te blokkeren kan een eventuele aanval worden gelimiteerd:
Microsoft heeft inmiddels voor alle gebruikers van Exchange Server het aanvullende advies uitgebracht om Remote PowerShell uit te zetten voor alle gebruikersaccounts in de organisatie die geen administrator zijn.
Voor meer informatie over het uitzetten van Remote PowerShell per gebruikersaccount of voor een groep gebruikersaccounts, zie de volgende documentatie afkomstig van Microsoft:
Tevens kan het volgende PowerShell commando worden gebruikt om IIS log bestanden (%SystemDrive%\inetpub\logs\LogFiles folder) te controleren op mogelijke exploitatie:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200
Het is raadzaam om de IIS logging te controleren vanaf augustus 2022.
Indien de IIS logging mogelijke exploitatie aanduidt willen wij u verzoeken om contact op te nemen met het Pinewood Security Operations Center (SOC).
Extra info
Pinewood monitort actief op eventuele verbindingen met IP-adressen die gekenmerkt worden als Indicator of Compromise (IoC).
Bronnen
Vragen
Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 750 36 33) of via e-mail soc@pinewood.nl.