Webinar:

Detecteren van Phishing met een SOC

Lees verder

Pinewood Security Bulletin – Cisco warns for vulnerabilities used to install backdoors in ASA/FirePower devices

For English, see below.

Beschrijving

Cisco heeft een waarschuwing uitgegeven voor een aanvalscampagne genaamd “ArcaneDoor” waarbij kwaadwillenden sinds November 2023 Cisco ASA en FirePower devices hebben voorzien van backdoors. De vermoedelijk statelijke actor achter deze campagne (UAT4356/STORM-1849) heeft daarbij twee verschillende typen backdoors op devices geplaatst (“Line Runner” en “Line Dancer”). Met deze backdoors kon de actor configuraties van devices wijzigen, verdere reconnaissance uitvoeren, netwerkverkeer onderscheppen en exfiltreren en mogelijk verder bewegen binnen het netwerk.

Binnen de campagne hebben de aanvallers misbruik gemaakt van twee kwetsbaarheden waarmee lokaal root-rechten kunnen worden verkregen (CVE-2024-20359) en op afstand een reboot van het device kan worden geïnitieerd (CVE-2024-20353). Geen van beide kwetsbaarheden bieden een aanvaller echter de mogelijkheid om op afstand ongeauthenticeerd toegang tot een device te verkrijgen. Het is op dit moment dan ook nog onduidelijk hoe de aanvallers in eerste instantie deze toegang hebben verkregen.

Kwetsbare versies

De kwetsbaarheden bevinden zich in Cisco ASA 9.12 en 9.14.

Oplossingen en tijdelijke mitigaties

Cisco heeft nieuwe versies van Cisco ASA uitgebracht om de kwetsbaarheden te verhelpen. De meest recente versies van Cisco ASA zijn:

  • 9.16.4.57
  • 9.18.4.22
  • 9.20.2.10

Detectie van mogelijk misbruik

Detectie van “Line Runner”

Cisco beschrijft twee methoden voor het detecteren van de “Line Runner” backdoor die beiden controles bevatten op de aanwezigheid van een ZIP-bestand op disk0:

  • Optie 1: Update het device met een fix voor CVE-2024-20359 en bekijk daarna de inhoud van disk0: (via het commando show disk0:). Indien disk0: een ZIP-bestand bevat (“client_bundle_install.zip” of andere ongebruikelijke ZIP), dan is dat een indicatie van de aanwezigheid van “Line Runner”.
  • Optie 2: Maak een dummy ZIP-bestand aan op disk0:, reboot het device en controleer daarna of het bestand “client_bundle_install.zip” aanwezig is op disk0:. Indien dit het geval is, is dit een sterke indicatie voor de aanwezigheid van “Line Runner”. Voer voor deze controle de volgende commando’s uit (let op dat het device hierdoor zal herstarten):

    asa> enable
    asa# show version | redirect disk0:/client_bundle.zip
    asa# show disk0:
    asa# reload
    asa> enable
    asa# show disk0:

Controle van geheugen

Via het commando show memory region | include lina is het mogelijk een output te genereren van de geheugenopmaak van het device. In de output van dit commando mag er maar één regel voorkomen waarin de permissies “r-xp” terug te vinden zijn. Indien meerdere regels in de output deze permissies bevatten, is het device mogelijk gecompromitteerd.

Controle van IP-adressen

Cisco heeft een reeks aan IP-adressen gepubliceerd die in de aanvalscampagne zijn gebruikt. Het Pinewood SOC heeft deze IP-adressen aan de monitoring toegevoegd en een historische check uitgevoerd tegen de data van klanten die gebruikmaken van Cisco ASA.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.

===== ENGLISH =====

Description

Cisco sent out a warning for a threat actor campaign named “ArcaneDoor” in which attackers have infected Cisco ASA and FirePower devices with backdoors since November 2023. It is believed that the nation-state actor UAT4356 (STORM-1849) behind this campaign distributed two backdoors (“Line Runner” and “Line Dancer”) to vulnerable devices. With these backdoors in place, the threat actor was able to modify the system’s configuration, start reconnaissance, capture and exfiltrate network traffic and potentially move laterally within the network.

Within the campaign, the attackers exploited two vulnerabilities, one that enables a local attacker to gain root-permissions (CVE-2024-20359) and another that allows a remote attacker to initiate a reboot of the device (CVE-2024-20353). None of these vulnerabilities allow an attacker to gain remote access to the device. It is therefore still unclear how the attackers succeeded in getting the initial access in the first place.

Vulnerable versions

The vulnerabilities exist in ASA versions 9.12 and 9.14.

Solutions and workarounds

Cisco released new versions of Cisco ASA to fix the vulnerabilities. The most recent versions of Cisco ASA currently are:

  • 9.16.4.57
  • 9.18.4.22
  • 9.20.2.10

Detection of possible misuse

Detection of “Line Runner”

Cisco describes two ways in which the existence of “Line Runner” on a device can be determined by checking for a specific ZIP-file on disk0:

  • Option 1: Update the device with a fix for CVE-2024-20359 and then check the contents of disk0: (by issuing the command show disk0:). If disk0: contains a ZIP file (“client_bundle_install.zip” or other unusual ZIP-file), this is an indication that “Line Runner” is installed on the device.
  • Option 2: Create a dummy ZIP file on disk0:, reboot the device and then check if the file “client_bundle_install.zip” can be found on disk0:. If this is the case, this is a strong indication that “Line Runner” is installed. To execute this check, use the commands below (note that the device will reboot):

    asa> enable
    asa# show version | redirect disk0:/client_bundle.zip
    asa# show disk0:
    asa# reload
    asa> enable
    asa# show disk0:

Memory check

By running the command show memory region | include lina, it’s possible to generate an output showing all the memory regions active within the device. This output should contain only one line showing the permissions “r-xp”. If multiple memory regions are enabled with these permissions, this is an indication that the device has been compromised.

IP address check

Cisco published a list of IP addresses that are known to be involved in the attacks. The Pinewood SOC added these IP addresses to its detection and executed a historical check against data of customers using Cisco ASA.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

UPDATE 2: Pinewood Security Bulletin – Palo Alto PAN-OS: OS Command Injection

For English, see below.

Update 17-04-2024

Deze mail bevat diverse updates over de recente kwetsbaarheid in Palo Alto PAN-OS.

Palo Alto geeft aan dat, in tegenstelling tot wat eerder werd gesteld, het uitschakelen van de ‘Device Telemetry’-functionaliteit geen bescherming biedt tegen misbruik van deze kwetsbaarheid. Elk device dat gebruikmaakt van de ‘GlobalProtect’-functionaliteit is daarom kwetsbaar wanneer deze niet is voorzien van de laatste updates en ‘Threat Prevention’ voor deze kwetsbaarheid niet is ingeschakeld.

Verder geeft Palo Alto aan dat de kwetsbaarheid in toenemende mate wordt misbruikt en dat er diverse proof of concepts zijn verschenen waarmee het mogelijk is deze kwetsbaarheid uit te buiten.

Tot slot zijn er updates verschenen voor aanvullende versies van PAN-OS en heeft Palo Alto een check beschreven die op PAN-OS devices kan worden uitgevoerd om te controleren of misbruik van de kwetsbaarheid heeft plaatsgevonden.

Bovenstaande ontwikkelingen zijn de reden voor een update op onze initiële bulletin. De details zijn terug te vinden in de rest van dit bulletin.

Beschrijving

Er is een kwetsbaarheid ontdekt in de Palo Alto Networks PAN-OS software die kwaadwillenden in staat stelt om ongeautoriseerde code uit te voeren met root-rechten op de firewall.

Een systeem is kwetsbaar wanneer het de ‘GlobalProtect’-functionaliteit gebruikt. Palo Alto geeft aan dat deze kwetsbaarheid actief wordt misbruikt voor het overnemen van kwetsbare devices.

Kwetsbare versies

De kwetsbaarheid is van toepassing op onderstaande PAN-OS versies:

  • PAN-OS 11.1: versies voor 11.1.2-h3 (inclusief 11.1.0- en 11.1.1-versies)
  • PAN-OS 11.0: versies voor 11.0.4-h1 (inclusief 11.0.0 t/m 11.0.3-versies)
  • PAN-OS 10.2: versies voor 10.2.9-h1 (inclusief 10.2.0 t/m 10.2.8-versies)

Oplossingen en tijdelijke mitigaties

Palo Alto heeft hotfixes uitgebracht die deze kwetsbaarheid verhelpen. Het gaat om onderstaande hotfixes:

  • PAN-OS 11.1:
    • PAN-OS 11.1.2-h3
    • PAN-OS 11.1.1-h1
    • PAN-OS 11.1.0-h3
  • PAN-OS 11.0:
    • PAN-OS 11.0.4-h1
    • PAN-OS 11.0.3-h10
    • PAN-OS 11.0.2-h4
  • PAN-OS 10.2:
    • PAN-OS 10.2.9-h1
    • PAN-OS 10.2.8-h3
    • PAN-OS 10.2.7-h8
    • PAN-OS 10.2.6-h3
    • PAN-OS 10.2.5-h6

 

Hotfixes voor overige kwetsbare versies van PAN-OS zal Palo Alto in de komende dagen uitbrengen.

Indien er nog geen hotfix beschikbaar is voor de gebruikte versie van PAN-OS, bestaat er voor klanten met een ‘Threat Prevention’-abonnement de mogelijkheid om misbruik van de kwetsbaarheid te blokkeren. Dit kan worden gedaan door ‘Threat ID’ 95187 te activeren. Let er op dat deze threat ID moet worden toegepast op de GlobalProtect interface. Zie dit artikel voor meer informatie.

Noot: voorheen leek ook het uitschakelen van de ‘Device Telemetry’-functionaliteit een mitigerende maatregel te zijn. Inmiddels is echter duidelijk dat het uitschakelen hiervan geen effectieve maatregel is om misbruik van de kwetsbaarheid te voorkomen.

Detectie van mogelijk misbruik

Palo Alto Networks meldt dat er een toenemende hoeveelheid aanvallen is waargenomen die misbruik maken van deze kwetsbaarheid. Klanten kunnen een case openen op het Customer Support Portal om hun logs te laten onderzoeken op misbruik van deze kwetsbaarheid.

Daarnaast heeft Palo Alto een aantal manieren beschreven waarop misbruik van de kwetsbaarheid kan worden vastgesteld.

Generieke detectie

Controle op misbruik van de kwetsbaarheid is mogelijk door onderstaand commando uit te voeren binnen de PAN-OS CLI:

grep pattern “failed to unmarshal session(.\+.\/” mp-log gpsvc.log*

Bij normaal gebruik van het device verschijnen, als output van dit commando, regels zoals hieronder, waarbij aan het einde van de regel tussen de haakjes een GUID zichtbaar is:

“message”:”failed to unmarshal session(01234567-89ab-cdef-1234-567890abcdef)”

Indien tussen de haakjes geen GUID maar een padverwijzing te zien is, wijst dit op succesvol misbruik van de kwetsbaarheid.

Detectie van initiële campagne

Naast de generieke detectie van misbruik van de kwetsbaarheid, heeft Palo Alto ook queries beschikbaar gesteld waarmee het mogelijk is om te controleren of een device mogelijk gecompromitteerd is bij een initiële campagne van misbruik. Deze controle kan worden uitgevoerd in de vorm van XQL-queries waarbij gezocht wordt op de volgende kenmerken:

  • De aanwezigheid van het domein .*nhdata.s3-us-west-2.amazonaws[.]com in de ruwe logs;
  • Hits op signature 95187 (indien deze is geactiveerd via Threat Prevention);
  • De aanwezigheid van bekende malafide IP-adressen in de ruwe logs en in telemetriedata.

Deze controles hebben betrekking op kenmerken van een bekende campagne en helpen niet bij het detecteren van nieuwe aanvallen.

Het Pinewood SOC heeft de bekende indicatoren van deze campagne in de detectie.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center (SOC). Het Pinewood SOC is bereikbaar via +31 15 251 36 33 en via soc@pinewood.nl.

===== ENGLISH =====

Update 17-04-2024

This mail describes several updates on the recent vulnerability in Palo Alto PAN-OS.

Palo Alto has indicated that, contrary to what was previously stated, disabling the ‘Device Telemetry’  functionality does not prevent exploitation of the vulnerability. Each device using the ‘ GlobalProtect’  functionality without the hotfixes installed and without the specific ‘Threat Prevention’ for this vulnerability enabled, is therefore vulnerable.

In addition, Palo Alto has stated that this vulnerability is increasingly being abused and that multiple proof of concepts were released that will enable easy exploitation of it.

Several additional hotfixes were released for other versions of PAN-OS and Palo Alto described an additional check that can be performed on devices to determine if the vulnerability was successfully exploited on the device.

These developments have been the reason for this updated bulletin. You can find the details in the remainder of this bulletin.

Description

A vulnerability has been discovered in the Palo Alto Networks PAN-OS software that allows malicious actors to execute unauthorized code with root privileges on the firewall.

A system is vulnerable when it uses the ‘GlobalProtect’ functionality. Palo Alto indicates that this vulnerability is actively being abused to infect vulnerable devices.

Vulnerable versions

The vulnerability applies to the following PAN-OS versions:

  • PAN-OS 11.1: versions prior to 11.1.2-h3 (including 11.1.0 and 11.1.1 versions)
  • PAN-OS 11.0: versions prior to 11.0.4-h1 (including versions 11.0.0 through 11.0.3)
  • PAN-OS 10.2: versions prior to 10.2.9-h1 (including versions 10.2.0 through 10.2.8)

Solutions and workarounds

Palo Alto released hotfixes to resolve this vulnerability. The following versions were released:

  • PAN-OS 11.1:
    • PAN-OS 11.1.2-h3
    • PAN-OS 11.1.1-h1
    • PAN-OS 11.1.0-h3
  • PAN-OS 11.0:
    • PAN-OS 11.0.4-h1
    • PAN-OS 11.0.3-h10
    • PAN-OS 11.0.2-h4
  • PAN-OS 10.2:
    • PAN-OS 10.2.9-h1
    • PAN-OS 10.2.8-h3
    • PAN-OS 10.2.7-h8
    • PAN-OS 10.2.6-h3
    • PAN-OS 10.2.5-h6

Hotfixes for other vulnerable versions of PAN-OS will be released in the coming days.

If a hotfix is not yet available for the version of PAN-OS in use, customers with a Threat Prevention subscription have the ability to block exploitation of the vulnerability. This can be done by enabling ‘Threat ID’ 95187. Ensure that this threat ID is applied to the GlobalProtect interface. See this article for more information.

Note: previously, disabling the ‘Device Telemetry’ functionality was seen as a mitigating measure as well. However, recent exploitation has shown that this is not an effective measure to block exploitation of the vulnerability.

Detection of possible misuse

Palo Alto Networks is aware of an increasing number of attacks that leverage the exploitation of this vulnerability. Customers can open a case on the Customer Support Portal to have their logs examined for abuse of this vulnerability.

In addition, Palo Alto has released information on how to detect abuse of the vulnerability in multiple ways.

Generic detection

Detection of the vulnerability on a device can be determined by running the following command within the PAN-OS CLI:

grep pattern “failed to unmarshal session(.\+.\/” mp-log gpsvc.log*

Normally, this will result in an output such as below whereby at the end of the line (between the “(“ and “)” characters) a GUID will be visible:

“message”:”failed to unmarshal session(01234567-89ab-cdef-1234-567890abcdef)”

If this GUID is not visible, but instead a file system path is shown, this indicates successful exploitation of the vulnerability.

Detection of initial campaign

Next to the generic detection, Palo Alto also released queries that will allow for checks on an initial campaign whereby this vulnerability was exploited. The XQL-queries search for the existence of several different characteristics:

  • The existence of the domain .*nhdata.s3-us-west-2.amazonaws[.]com in raw logs;
  • Hits on signature 95187 (if this signature is enabled through Threat Prevention);
  • The existence of well-known malicious IP addresses in raw logs and telemetry data.

These checks are specifically meant to detect the existence of a well-known campaign exploiting this vulnerability and thus will not detect other campaigns.

Pinewood SOC added the known indicators of this campaign to its detection.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center (SOC). The Pinewood SOC can be contacted at +31 15 251 36 33 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Palo Alto PAN-OS: OS Command Injection

For English, see below.

Beschrijving

Er is een kwetsbaarheid ontdekt in de Palo Alto Networks PAN-OS software die kwaadwillenden in staat stelt om ongeautoriseerde code uit te voeren met root-rechten op de firewall.

Een systeem is kwetsbaar wanneer het zowel de ‘GlobalProtect’- als de ‘Device Telemetry’-functionaliteit gebruikt.

Kwetsbare versies

De kwetsbaarheid is van toepassing op onderstaande PAN-OS versies:

  • PAN-OS 11.1: versies voor 11.1.2-h3
  • PAN-OS 11.0: versies voor 11.0.4-h1
  • PAN-OS 10.2: versies voor 10.2.9-h1

Oplossingen en tijdelijke mitigaties

De nieuwste versie van PAN-OS, die een oplossing biedt voor deze kwetsbaarheid, staat gepland voor 14 april 2024.

Voor de periode tot de release zijn er enkele tijdelijke maatregelen die kunnen worden genomen:

Klanten met een ‘Threat Prevention’-abonnement

Klanten met een abonnement op Threat Prevention kunnen de kwetsbaarheid blokkeren door ‘Threat ID’ 95187 te activeren.

Klanten zonder een ‘Threat Prevention’-abonnement

Klanten zonder een Threat Prevention-abonnement kunnen de kwetsbaarheid mitigeren door tijdelijk de ‘Device Telemetry’-functionaliteit uit te schakelen. Raadpleeg de documentatie van Palo Alto Networks voor meer informatie over het uitschakelen van deze functie.

Detectie van mogelijk misbruik

Palo Alto Networks meldt dat er een beperkt aantal aanvallen zijn waargenomen die misbruik maken van deze kwetsbaarheid. Klanten kunnen een case openen op het Customer Support Portal om hun logs te laten onderzoeken op misbruik van deze kwetsbaarheid.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center (SOC). Het Pinewood SOC is bereikbaar via +31 15 251 36 33 en via soc@pinewood.nl.

 

===== ENGLISH =====

Description

A vulnerability has been discovered in the Palo Alto Networks PAN-OS software that allows malicious actors to execute unauthorized code with root privileges on the firewall.

A system is vulnerable when it uses both the ‘GlobalProtect’ and ‘Device Telemetry’ functionalities.

Vulnerable versions

The vulnerability applies to the following PAN-OS versions:

  • PAN-OS 11.1: versions prior to 11.1.2-h3
  • PAN-OS 11.0: versions prior to 11.0.4-h1
  • PAN-OS 10.2: versions prior to 10.2.9-h1

Solutions and workarounds

Currently the latest version of PAN-OS is still vulnerable, the new release which provides a solution to this vulnerability, is scheduled for April 14, 2024.

For the period before the release, there are some temporary mitigations that can be taken:

Customers with a Threat Prevention subscription
Customers with a Threat Prevention subscription can block the vulnerability by enabling ‘Threat ID’ 95187.

Customers without a Threat Prevention subscription
Customers without a Threat Prevention subscription can mitigate the vulnerability by temporarily disabling the ‘Device Telemetry’ functionality. Refer to Palo Alto Networks documentation for more information on disabling this feature.

Detection of possible misuse

Palo Alto Networks is aware of a limited number of attacks that leverage the exploitation of this vulnerability. Customers can open a case on the Customer Support Portal to have their logs examined for abuse of this vulnerability.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center (SOC). The Pinewood SOC can be contacted at +31 15 251 36 33 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Backdoor found in XZ Utils (CVE-2024-3094)

PinewoFor English, see below.

Beschrijving

Er is een backdoor (CVE-2024-3094) aangetroffen in de Linux liblzma-bibliotheek (onderdeel van het “XZ Utils” package) voor het comprimeren en decomprimeren van data. Hoewel deze bibliotheek standaard onderdeel uitmaakt van veel Linux-distributies, lijkt het erop dat de backdoored versie hiervan niet verder is gekomen dan de “unstable”, “test”, “rolling” en “experimental” releases van Linux-distributies. Dit is te danken aan het feit dat de backdoor vroegtijdig werd ontdekt door PostgreSQL-ontwikkelaar Anders Freund.

De backdoor maakt het mogelijk om, via de OpenSSH-service op een Linux-systeem, op afstand willekeurige code uit te voeren door gebruik te maken van een, door de aanvaller gegenereerde, digitale sleutel. De backdoor lijkt na een lange voorbereiding op 24 Februari 2024 geïntroduceerd in de broncode van deze bibliotheek, waarna de ontwikkelaar van de programmatuur (“Jia Tan”) en meerdere personages hebben geprobeerd om deze wijziging zo snel als mogelijk op te laten nemen in de productieversies (“stable” releases) van populaire Linux-distributies zoals Ubuntu en Fedora. Gelukkig is dit dus niet gelukt waardoor de daadwerkelijke impact van de backdoor hiermee beperkt lijkt. Het roept echter wel vragen op m.b.t. andere wijzigingen (“commits”) die Jia Tan over de afgelopen jaren heeft voorgesteld en doorgevoerd in open source producten zoals XZ Utils en libarchive. Deze wijzigingen worden op dit moment door veel ontwikkelaars onderzocht en, waar verdacht, weer teruggedraaid.

Kwetsbare versies

De backdoor bevindt zich in de versies 5.6.0 en 5.6.1 van liblzma. Deze versies zijn door Linux-distributies niet opgenomen in productie/stable releases van deze platformen. Volgens de laatste informatie bevatten onderstaande Linux-distributies genoemde versies:

  • Kali Linux, indien geüpdatet tussen 26 en 29 Maart 2024 [1];
  • openSUSE Tumbleweed en openSUSE MicroOS (beide “rolling” releases), releases tussen 7 en 28 Maart 2024 [2];
  • Fedora 41, Fedora Rawhide en Fedora Linux 40 beta [3];
  • Debian (testing, unstable en experimental distributies) [4];
  • Arch Linux, installatiemedium 2024.03.01, VM images 20240301.218094 en 20240315.221711, en container images die zijn aangemaakt tussen 24 februari 2024 en 28 maart 2024 [5]. Misbruik van de backdoor is hierbij echter niet mogelijk via (Open)SSH.

Oplossingen en tijdelijke mitigaties

De kans dat een organisatie gebruikmaakt van één van bovenstaande Linux-versies die daarnaast ook nog eens internet exposed is via de SSH-service achten wij niet groot. Mocht dit wél het geval zijn, dan is het van belang om het systeem zo snel als mogelijk te isoleren. Volg daarna de aanwijzingen van de betreffende leverancier op.

Detectie

Om te verifiëren óf een systeem gebruikmaakt van een backdoored versie van de genoemde bibliotheek hebben de makers van Kali een script beschikbaar gesteld waarmee dit eenvoudig is vast te stellen [6]. Mocht u twijfelen of een systeem de backdoor bevat, maak dan gebruik van dit script om dit vast te stellen.

Door de manier waarop de backdoor is ingebouwd, is het voor zover nu bekend niet mogelijk om geraakte systemen via netwerkscanners te inventariseren.

Meer informatie

[1] https://www.kali.org/blog/about-the-xz-backdoor/

[2] https://news.opensuse.org/2024/03/29/xz-backdoor/

[3] https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

[4] https://lists.debian.org/debian-security-announce/2024/msg00057.html

[5] https://archlinux.org/news/the-xz-package-has-been-backdoored/

[6] https://www.kali.org/blog/xz-backdoor-getting-started/

[7] https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

[8] https://boehs.org/node/everything-i-know-about-the-xz-backdoor

[9] https://www.tenable.com/blog/frequently-asked-questions-cve-2024-3094-supply-chain-backdoor-in-xz-utils

[10] https://access.redhat.com/security/cve/CVE-2024-3094

[11] https://tukaani.org/xz-backdoor/

[12] https://blog.qualys.com/vulnerabilities-threat-research/2024/03/29/xz-utils-sshd-backdoor

[13] https://linuxiac.com/the-upstream-xz-tarballs-have-been-backdoored/

[14] https://github.com/Midar/xz-backdoor-documentation/wiki

[15] https://tweakers.net/nieuws/220364/5-vragen-over-de-malware-in-compressietool-xz-was-dit-een-achterdeur.html

[16] https://www.rapid7.com/blog/post/2024/04/01/etr-backdoored-xz-utils-cve-2024-3094/

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

 

===== ENGLISH =====

Description

A backdoor (CVE-2024-3094) was found in the liblzma Linux library (part of the XZ Utils package), used to compress and decompress data. Although this library is used in many Linux distributions, the backdoored version of it has “only” reached the unstable, test, rolling and experimental releases of these distributions. Early detection of the backdoor by PostgreSQL developer Anders Freud has prevented the acceptance of the backdoor in stable releases.

The backdoor allows the threat actor to compromise a system by calling the OpenSSH service using a preconfigured digital key. The backdoor was introduced in the package on 24 February 2024 after a long time of preparation. Shortly after releasing the backdoor, the developer (“Jia Tan”) and multiple other personas tried to introduce the backdoor as soon as possible in the production (stable) versions of popular Linux distributions such as Ubuntu and Fedora. Luckily, this has not proven to be successful which limits the impact of this incident. It does however raise questions about other changes that Jia Tan has initiated over the years in open source products such as XZ Utils and libarchive. These changes are currently reviewed by many developers and, where appropriate, reverted.

Vulnerable versions

The backdoor is built into liblzma versions 5.6.0 and 5.6.1. The versions were not accepted into the stable releases of Linux distributions. According to the latest information, the Linux distributions below are known to have used these versions:

  • Kali Linux, if updated between 26 and 29 March 2024 [1];
  • openSUSE Tumbleweed and openSUSE MicroOS (both “rolling” releases), releases between 7 and 28 March 2024 [2];
  • Fedora 41, Fedora Rawhide and Fedora Linux 40 beta [3];
  • Debian (testing, unstable and experimental distributions) [4];
  • Arch Linux, installation medium 2024.03.01, VM images 20240301.218094 and 20240315.221711, and container images created between 24 February 2024 and 28 March 2024 [5]. Exploitation of the backdoor via OpenSSH is however not possible.

Solutions and workarounds

We consider the chances low that organisations run one of the Linux distributions mentioned before on a system that is also exposing its SSH service towards the internet. If this is however the case, it is of upmost importance to isolate the system as soon as possible. Next, follow the instructions as given by the respective vendor.

Detection

To verify if a system is using a backdoored version of the library, the developers of Kali have created a script that will allow you to quickly determine this [6]. If you’re unsure whether or not a backdoored version of the library is in use on a system, we advise you to run this script.

Due to the way the backdoor is built, we do not know of any network scanner that is able to determine impacted systems by running a network scan.

More information

[1] https://www.kali.org/blog/about-the-xz-backdoor/

[2] https://news.opensuse.org/2024/03/29/xz-backdoor/

[3] https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

[4] https://lists.debian.org/debian-security-announce/2024/msg00057.html

[5] https://archlinux.org/news/the-xz-package-has-been-backdoored/

[6] https://www.kali.org/blog/xz-backdoor-getting-started/

[7] https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

[8] https://boehs.org/node/everything-i-know-about-the-xz-backdoor

[9] https://www.tenable.com/blog/frequently-asked-questions-cve-2024-3094-supply-chain-backdoor-in-xz-utils

[10] https://access.redhat.com/security/cve/CVE-2024-3094

[11] https://tukaani.org/xz-backdoor/

[12] https://blog.qualys.com/vulnerabilities-threat-research/2024/03/29/xz-utils-sshd-backdoor

[13] https://linuxiac.com/the-upstream-xz-tarballs-have-been-backdoored/

[14] https://github.com/Midar/xz-backdoor-documentation/wiki

[15] https://tweakers.net/nieuws/220364/5-vragen-over-de-malware-in-compressietool-xz-was-dit-een-achterdeur.html

[16] https://www.rapid7.com/blog/post/2024/04/01/etr-backdoored-xz-utils-cve-2024-3094/

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Critical vulnerabilities in FortiOS/FortiProxy Captive Portal

For English, see below.

Beschrijving

Er bevinden zich twee ernstige kwetsbaarheden (CVE-2023-42789 en CVE-2023-42790) in de Captive Portal van FortiOS en FortiProxy die kwaadwillenden kunnen misbruiken voor het uitvoeren van willekeurige code. Deze kwetsbaarheden werden vorige maand al verholpen met nieuwe (FortiOS) updates waarover wij eerder al berichtten vanwege een ernstige kwetsbaarheid in sslvpnd. De kans is dan ook aanwezig dat Fortinet-devices niet kwetsbaar zijn vanwege de geïnstalleerde updates.

Voor succesvol misbruik van de kwetsbaarheden, moet aan de volgende voorwaarden zijn voldaan:

  • Het device is niet voorzien zijn van de eerder uitgebrachte updates;
  • De Captive Portal is op het device geactiveerd;
  • De Captive Portal maakt gebruik van form-based authenticatie;
  • De aanvaller beschikt over (HTTP-)toegang tot de Captive Portal.

De kwetsbaarheden zijn door Fortinet zelf ontdekt. Er is nog geen exploitcode of actieve uitbuiting bekend.

Kwetsbare versies

De onderstaande versies van FortiOS en FortiProxy bevatten de beschreven kwetsbaarheden:

  • FortiOS versie 7.4.0 t/m 7.4.1
  • FortiOS versie 7.2.0 t/m 7.2.5
  • FortiOS versie 7.0.0 t/m 7.0.12
  • FortiOS versie 6.4.0 t/m 6.4.14
  • FortiOS versie 6.2.0 t/m 6.2.15
  • FortiProxy versie 7.4.0
  • FortiProxy versie 7.2.0 t/m 7.2.6
  • FortiProxy versie 7.0.0 t/m 7.0.12
  • FortiProxy versie 2.0.0 t/m 2.0.13

Oplossingen en tijdelijke mitigaties

Wij raden aan de door Fortinet beschikbare updates zo snel mogelijk te installeren, mocht dit nog niet gedaan zijn. Maak gebruik van één van de onderstaande versies van FortiOS of FortiProxy:

  • FortiOS versie 7.4.3 of hoger
  • FortiOS versie 7.2.7 of hoger
  • FortiOS versie 7.0.14 of hoger
  • FortiOS versie 6.4.15 of hoger
  • FortiOS versie 6.2.16 of hoger
  • FortiProxy versie 7.4.1 of hoger
  • FortiProxy versie 7.2.7 of hoger
  • FortiProxy versie 7.0.13 of hoger
  • FortiProxy versie 2.0.14 of hoger

Meer informatie

Managed Security Services (MSS) klanten

Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden.

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

Two critical vulnerabilities (CVE-2023-42789 and CVE-2023-42790) were reported in the Captive Portal of FortiOS and FortiProxy that allow malicious actors to execute arbitrary code on vulnerable devices. These vulnerabilities were already addressed last month with new updates for FortiOS. Pinewood reported about these updates at that time, due to a serious vulnerability in sslvpnd that these updates fixed. It is therefore possible that Fortinet devices are not vulnerable due to the installed updates.

For successful exploitation of the vulnerabilities, the following conditions must be met:

  • The device has not been updated with the aforementioned updates from February 2024;
  • The Captive Portal is activated on the device;
  • The Captive Portal uses form-based authentication;
  • The attacker has (HTTP) access to the Captive Portal.

The vulnerabilities were internally discovered by Fortinet. There is no exploit code or active exploitation known yet.

Vulnerable versions

The following versions of FortiOS and FortiProxy are vulnerable:

  • FortiOS version 7.4.0 to 7.4.1
  • FortiOS version 7.2.0 to 7.2.5
  • FortiOS version 7.0.0 to 7.0.12
  • FortiOS version 6.4.0 to 6.4.14
  • FortiOS version 6.2.0 to 6.2.15
  • FortiProxy version 7.4.0
  • FortiProxy version 7.2.0 to 7.2.6
  • FortiProxy version 7.0.0 to 7.0.12
  • FortiProxy version 2.0.0 to 2.0.13

Solutions and workarounds

We recommend installing the updates available from Fortinet as soon as possible if this has not already been done. Use one of the following versions of FortiOS or FortiProxy:

  • FortiOS version 7.4.3 or above
  • FortiOS version 7.2.7 or above
  • FortiOS version 7.0.14 or above
  • FortiOS version 6.4.15 or above
  • FortiOS version 6.2.16 or above
  • FortiProxy version 7.4.1 or above
  • FortiProxy version 7.2.7 or above
  • FortiProxy version 7.0.13 or above
  • FortiProxy version 2.0.14 or above

More information

Managed Security Services (MSS) customers

If you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from these vulnerabilities.

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Vulnerabilities in Microsoft Exchange and Microsoft Outlook

For English, see below.

Beschrijving

Microsoft heeft tijdens de laatste maandelijkse patchronde zowel een ernstige kwetsbaarheid in Microsoft Exchange (CVE-2024-21410) als in Microsoft Outlook (CVE-2024-21413) verholpen. Door deze twee kwetsbaarheden te combineren, kunnen aanvallers een succesvolle NTLM-relayaanval uitvoeren waarbij ze verbinding kunnen maken met een Exchange-server van de organisatie met de rechten van een aangevallen slachtoffer.

Microsoft geeft nu aan dat de kwetsbaarheid in Microsoft Exchange al actief misbruikt wordt. Ook het uitbuiten van de kwetsbaarheid in Microsoft Outlook lijkt eenvoudig en details hierover zijn beschreven door CheckPoint. Misbruik bestaat eruit dat een slachtoffer een e-mail opent en vervolgens een malafide link benadert. Na het openen van de link krijgt de aanvaller een authenticatiepoging vanuit de gebruiker in handen die hij vervolgens kan doorzetten (“relayen’) naar een kwetsbare Exchange-server om namens de gebruiker in te loggen.

Kwetsbare versies

De volgende versies van Microsoft Exchange zijn kwetsbaar voor CVE-2024-21410 indien Extended Protection for Authentication (EPA) hierop nog niet is ingeschakeld:

  • Microsoft Exchange Server 2019 Cumulative Update 14 en eerder
  • Microsoft Exchange Server 2016 Cumulative Update 23 en eerder

De volgende versies van Microsoft Outlook zijn kwetsbaar voor CVE-2024-21413:

  • Microsoft 365 Apps for Enterprise for 64-bit Systems
  • Microsoft 365 Apps for Enterprise for 32-bit Systems
  • Microsoft Office 2016 (64-bit edition)
  • Microsoft Office 2016 (32-bit edition)
  • Microsoft Office 2019 for 32-bit editions
  • Microsoft Office 2019 for 64-bit editions
  • Microsoft Office LTSC 2021 for 32-bit editions
  • Microsoft Office LTSC 2021 for 64-bit editions

Oplossingen en tijdelijke mitigaties

Microsoft heeft updates voor Microsoft Exchange en Microsoft Outlook uitgebracht om deze kwetsbaarheden te verhelpen.

De updates voor Microsoft Exchange zorgen ervoor dat Extended Protection for Authentication (EPA) wordt ingeschakeld op alle Exchange servers. Deze functionaliteit is in augustus 2022 al geïntroduceerd met updates voor Exchange, maar werd nog niet standaard geactiveerd. De nieuwste updates voor Exchange zorgen ervoor dat EPA standaard wel wordt geactiveerd. Mocht een organisatie de EPA-functionaliteit al eerder zelf hebben ingeschakeld, dan zijn de Exchange servers niet kwetsbaar.

Hoewel er geen specifieke workarounds voor deze kwetsbaarheden zijn te implementeren, bestaan er wel een aantal best practices die uitbuiting van dit soort kwetsbaarheden bemoeilijken en die mogelijk al door de organisatie zijn geïmplementeerd:

  • Sta alleen essentiële verbindingen toe vanuit de infrastructuur naar het internet. Specifiek voor deze kwetsbaarheid is het van belang dat vanuit het netwerk géén verbindingen over 445/tcp naar (onvertrouwde) externe IP-adressen worden toegestaan. Sta bij gebruik van Azure Files alleen 445/tcp naar externe IP-adressen voor Azure Files toe. Houd er rekening mee dat deze poort mogelijk wél geopend is op het moment dat een gebruiker niet verbonden is met het bedrijfsnetwerk. Dergelijke beperkingen moet men daarom ook afdwingen via de lokale (Windows) firewall.
  • Maak gebruik van maatregelen als SMB signing, LDAP signing, LDAP channel binding en HTTP Extended Protection for Authentication (EPA). Deze maatregelen voorkomen een succesvolle ‘NTLM relay’-aanval, maar voorkomen niet dat de Net-NTLMv2 wachtwoordhash uitlekt.
  • Zorg ervoor dat de WebDAV-client op systemen is uitgeschakeld of van systemen is verwijderd. Dit voorkomt dat de uitgaande verbinding over een andere poort dan 445/tcp uitgevoerd kan worden. De WebDAV-client is alleen geïnstalleerd op werkplekken, niet op servers. De-installeren is mogelijk via de optie “ add/remove programs”  of via een centrale policywijziging. De WebDAV-client staat standaard uitgeschakeld, maar kan door verschillende omstandigheden automatisch ingeschakeld worden.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

During the latest Patch Tuesday, Microsoft released updates to resolve vulnerabilities in both Microsoft Exchange (CVE-2024-21410) and Microsoft Outlook (CVE-2024-21413). By combining these two vulnerabilities, an attacker is able to conduct a successful NTLM relaying attack, thereby accessing a vulnerable Exchange server of the organization using the authentication information of the victim.

Microsoft has now indicated that the vulnerability in Microsoft Exchange is already actively exploited by threat actors. Although Microsoft does not indicate that the Outlook vulnerability is actively exploited as well, exploitation seems quite trivial and details have been provided by CheckPoint. In an exploitation scenario, a victim will open an e-mail and will then open a malicious link inside this e-mail. After opening the link, the attacker will see an authentication attempt originating from the user, which he will then automatically relay to the vulnerable Exchange server to login to this server using the victim’s authentication information.

Vulnerable versions

The following versions of Microsoft Exchange are vulnerable for CVE-2024-21410 if Extended Protection for Authentication is not yet enabled:

  • Microsoft Exchange Server 2019 Cumulative Update 14 and previous versions
  • Microsoft Exchange Server 2016 Cumulative Update 23 and previous versions

The following versions of Microsoft Outlook are vulnerable for CVE-2024-21413:

  • Microsoft 365 Apps for Enterprise for 64-bit Systems
  • Microsoft 365 Apps for Enterprise for 32-bit Systems
  • Microsoft Office 2016 (64-bit edition)
  • Microsoft Office 2016 (32-bit edition)
  • Microsoft Office 2019 for 32-bit editions
  • Microsoft Office 2019 for 64-bit editions
  • Microsoft Office LTSC 2021 for 32-bit editions
  • Microsoft Office LTSC 2021 for 64-bit editions

Solutions and workarounds

Microsoft released updates for Microsoft Exchange and Microsoft Outlook to resolve these vulnerabilities.

The updates for Microsoft Exchange will result in the activation of Extended Protection for Authentication (EPA) on these servers. This functionality was already introduced in August 2022, but was not activated by default. By installing the latest updates, EPA is activated by default. If an organization already activated EPA before, these Exchange servers are not vulnerable to the NTLM relaying attack.

Although there are no specific workarounds for this vulnerability, there are several best practices that make exploitation of this vulnerability more difficult and that may already have been implemented by the organization:

  • Allow only essential connections from the infrastructure to the internet. Specifically for this vulnerability, it is important that no connections over 445/tcp to (untrusted) external IP addresses are allowed from the network. If you’re using Azure Files, make sure that 445/tcp towards external IP addresses is only allowed for Azure Files. Note that this port may be open when a user is not connected to the corporate network. Such restrictions must therefore also be enforced through the local (Windows) firewall.
  • Use measures such as SMB signing, LDAP signing, LDAP channel binding, and HTTP Extended Protection for Authentication (EPA). These measures prevent a successful “NTLM relay” attack, but do not prevent the Net-NTLMv2 password hash from leaking.
  • Ensure that the WebDAV client is disabled or removed from systems. This prevents the outbound connection from being performed on a port other than 445/tcp. The WebDAV client is only installed on workstations, not on servers. You can deinstall the client by using the “ add/remove programs”  option of Windows or by creating a central policy. The WebDAV client is disabled by default, but may be automatically enabled due to various circumstances.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Unknown vulnerability in all FortiGate devices, immediate update required

For English, see below.

Beschrijving

Er is een onbekende kwetsbaarheid opgelost in FortiOS 6.2, 6.4, 7.0, 7.2, en 7.4. Fortinet heeft op woensdag 7 februari patches uitgebracht voor al deze software versies. De aard van de kwetsbaarheid is ons nog onbekend, maar Pinewood heeft wel sterke signalen ontvangen dat het van belang is om deze update zo snel mogelijk te installeren.
Er zijn geen signalen dat deze patch direct gerelateerd is aan het bericht dat de Nederlandse Militaire Inlichtingen en Veiligheidsdienst (MIVD) deze week uitgestuurd heeft, of aan de daarin beschreven Remote Access Trojan (RAT).
Kwetsbare versies

Onderstaande lijst met software en versienummers is kwetsbaar.
FortiOS 7.4.0 – 7.4.2
FortiOS 7.2.0 – 7.2.6
FortiOS 7.0.0 – 7.0.13
FortiOS 6.4.0 – 6.4.14
FortiOS 6.2.0 – 6.2.15

Oplossingen en tijdelijke mitigaties

Gezien de beperkte informatie die beschikbaar is, is er nog geen tijdelijke mitigatie te communiceren. Het advies is dan ook om met spoed te updaten naar een van de volgende, niet kwetsbare, versies:
FortiOS 7.4.3
FortiOS 7.2.7
FortiOS 7.0.14
FortiOS 6.4.15
FortiOS 6.2.16

Managed Security Services (MSS) klanten

Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden.

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

An unknown vulnerability has been fixed in FortiOS 6.2, 6.4, 7.0, 7.2, and 7.4. Fortinet released patches for all these software versions on Wednesday, February 7. The nature of the vulnerability is still unknown to us, but Pinewood has received strong signals that it is important to install this update as soon as possible.
There are no signals that this patch is directly related to the message that the Dutch Ministry of Defence (MOD) sent out this week, or to the Remote Access Trojan (RAT) described therein.

The list of software and version numbers below is vulnerable.
FortiOS 7.4.0 – 7.4.2
FortiOS 7.2.0 – 7.2.6
FortiOS 7.0.0 – 7.0.13
FortiOS 6.4.0 – 6.4.14
FortiOS 6.2.0 – 6.2.15

Solutions and workarounds

Given the limited information available, there is no temporary mitigation to communicate yet. The advice is therefore to urgently update to one of the following, non-vulnerable versions:
FortiOS 7.4.3
FortiOS 7.2.7
FortiOS 7.0.14
FortiOS 6.4.15
FortiOS 6.2.16

Managed Security Services (MSS) customers

If you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from these vulnerabilities.

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin –  Exploitation of FortiOS SSL-VPN vulnerability from 2022 (CVE-2022-42475)

For English, see below.

Beschrijving

De Nederlandse Militaire Inlichtingen en Veiligheidsdienst (MIVD) heeft een bericht uitgebracht waarin het misbruik van een FortiOS-kwetsbaarheid uit 2022 (CVE-2022-42475) beschrijft. In het geval van de door MIVD waargenomen aanval, werd de kwetsbaarheid uitgebuit om een Remote Access Trojan (RAT) te installeren op een kwetsbaar Fortigate-device.

Naar aanleiding van de berichtgeving heeft Pinewood diverse vragen ontvangen. Een aantal zaken is hierbij belangrijk te benoemen:

  • De misbruikte kwetsbaarheid was bekend en is in November 2022 door Fortinet verholpen middels updates. Op dat moment gaf Fortinet al aan dat er actief misbruik werd gemaakt van de kwetsbaarheid.
  • De aanval die de MIVD beschrijft vond plaats in 2023, dus na het bekend worden van de kwetsbaarheid en het beschikbaar komen van updates. De MIVD geeft tevens aan dat het vermoedelijk om een gerichte aanval gaat waarbij de betreffende malware naar alle waarschijnlijkheid alleen is geïnstalleerd bij een selecte groep aan slachtoffers.
  • Pinewood heeft ten tijde van het bekend worden van de kwetsbaarheid een security bulletin uitgebracht met het advies de door Fortinet uitgebrachte updates te installeren.
  • Voor klanten met een Managed Security Services contract heeft Pinewood destijds direct actie ondernomen om de kwetsbaarheid weg te nemen.
  • Het Pinewood SOC heeft destijds detectieregels geïmplementeerd teneinde misbruik van de kwetsbaarheid te kunnen detecteren.

Indien Fortigate devices ten tijde van het bekend worden van de kwetsbaarheid voorzien zijn van de updates, is er geen aanleiding te denken dat deze via de beschreven campagne zijn gecompromitteerd.

Kwetsbare versies

De kwetsbaarheid is verholpen met updates voor FortiOS 7.2, 7.0, 6.4 en 6.2 series. Deze zijn uitgebracht tussen 1-22 november 2022. Onderstaande versies van FortiOS bevatten de kwetsbaarheid:

  • FortiOS 7.2.0 – 7.2.2
  • FortiOS 7.0.0 – 7.0.8
  • FortiOS 6.4.0 – 6.4.10
  • FortiOS 6.2.0 – 6.2.11
  • FortiOS-6K7K 7.0.0 – 7.0.7
  • FortiOS-6K7K 6.4.0 – 6.4.9
  • FortiOS-6K7K 6.2.0 – 6.2.11
  • FortiOS-6K7K 6.0.0 – 6.0.14

Oplossingen en tijdelijke mitigaties

Installeer de laatste versie van FortiOS om de kwetsbaarheid te verhelpen.

Detectie van mogelijk misbruik

De incidentbeschrijving die de MIVD heeft uitgebracht bevat diverse controles om te achterhalen of een Fortigate is gecompromitteerd tijdens de betreffende campagne. Een uitgebreide beschrijving hiervan is terug te vinden in het MIVD-bulletin. Samengevat komt het erop neer dat een aantal commando’s via de Fortigate CLI moeten worden uitgevoerd:

  • Controleer of de bestanden /bin/smartctl of /data/bin/smartctl bestaan door het uitvoeren van onderstaande commando’s:fnsysctl ls -la /bin
    fnsysctl ls -la /data/bin

    Indien de betreffende bestanden bestaan en de timestamps hierop aangeven dat deze bestanden een stuk nieuwer zijn dan andere bestanden in dezelfde directories, bestaat het vermoeden dat deze zijn aangepast. Noot: het MIVD-rapport beschrijft ook dat als smartctl geen symlink is, dit een indicatie vormt dat het bestand is aangepast. Dit lijkt echter niet op te gaan voor recente Fortigate devices.

  • Controleer welke TCP-verbindingen er vanuit de Fortigate bestaan door het uitvoeren van het onderstaande commando:diagnose sys tcpsock

    Indien er uitgaande verbindingen te zien zijn is het zaak te onderzoeken richting welke IP-adressen dit gebeurt (en of verbindingen met deze IP-adressen verwacht zijn). Zeker indien de verbindingen zijn opgezet vanuit het proces httpsd bestaat het vermoeden dat het hier om malafide verbindingen gaat.
  • Controleer op de aanwezigheid van httpsd-processen. Het is bekend dat de malware deze procesnaam gebruikt om haar aanwezigheid te verbergen. Voer hiertoe de volgende commando’s uit:Voor het opvragen van alle process ID’s (PID’s) van processen genaamd httpsd:
    diagnose sys process pidof httpsd

    Voor het tonen van procesinformatie van verdachte PID‘s:
    diagnose sys process dump <PID>

    Indien de Gid van een dergelijk proces 90 is of als er processen te zien met deleted verwijzingen naar /data2/httpsd of /data2/.bd.key/preload.so, is het systeem volgens de MIVD zeker besmet met de gevonden malware. Tip: voer bovenstaand commando uit met achtereenvolgens de toevoegingen | grep -i Gid en | grep -i data om een beter overzicht te krijgen.

  • Controleer op verwijzingen naar /lib/preload.so in PID 1 door het uitvoeren van onderstaand commando:diagnose sys process dump 1

Indien in de uitvoer van dit commando deleted verwijzingen terug te vinden zijn naar /lib/preload.so vormt dit een sterke indicatie van de aanwezigheid van de malware.

Daarnaast heeft Fortinet ten tijde van het bekend worden van de kwetsbaarheid ook een aantal checks beschreven die kunnen worden uitgevoerd om te controleren of een device mogelijk gecompromitteerd is:

  • Controleer of er applicatie crashes zijn geregistreerd van de sslvpnd daemon rond de tijd dat het systeem kwetsbaar was. Doe dit door het uitvoeren van onderstaand commando:diagnose debug crashlog read | grep -i sslvpn
  • Controleer op de aanwezigheid van onderstaande bestanden:/data/lib/libips.bak

/data/lib/libgif.so

/data/lib/libiptcp.so

/data/lib/libipudp.so

/data/lib/libjepg.so

/var/.sslvpnconfigbk

/data/etc/wxd.conf

/flash

  • Controleer op de aanwezigheid van verdachte uitgaande verbindingen. Deze check was ook al beschreven in de lijst met checks vanuit het MIVD-rapport.

Meer informatie

Managed Security Services (MSS) klanten

Als u een Pinewood Managed Security Services contract heeft zal Pinewood aanvullende controles uitvoeren op Fortigate devices.

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

The Dutch Ministry of Defence (MOD) released a report in which they describe the exploitation of a vulnerability in FortiOS from 2022 (CVE-2022-42475). In the case of the incident that was found by the MOD, this vulnerability was exploited to install a Remote Access Trojan (RAT) on a vulnerable Fortigate device.

Pinewood received several questions from customers as a result of this report. The following facts are important to take into consideration:

  • The vulnerability that was exploited was already known and was fixed via FortiOS updates released by Fortinet in November 2022.
  • The attack described by the MOD took place in 2023, so after details about the vulnerability emerged and after updates were released. The MOD also reports that the attack seems to be targeted whereby the malware was probably only installed on the devices of a select group of victims.
  • At the time of the update, Pinewood released a security bulletin urging all Fortinet users to install the updates released by Fortinet.
  • At the time of the update, Pinewood installed updates on Fortigate devices of customers with a Managed Security Service contract.
  • The Pinewood SOC implemented additional detection rules at the time of the update to be able to detect exploitation of the vulnerability.

If Fortigate devices were patched at the time that the updates were released, there is no reason to believe that these devices were compromised during the campaign.

Vulnerable versions

The vulnerability was patched with new versions of the 7.2, 7.0, 6.4 and 6.2 series. These were released between 1 and 22 November 2022. The following versions of FortiOS are vulnerable:

  • FortiOS 7.2.0 – 7.2.2
  • FortiOS 7.0.0 – 7.0.8
  • FortiOS 6.4.0 – 6.4.10
  • FortiOS 6.2.0 – 6.2.11
  • FortiOS-6K7K 7.0.0 – 7.0.7
  • FortiOS-6K7K 6.4.0 – 6.4.9
  • FortiOS-6K7K 6.2.0 – 6.2.11
  • FortiOS-6K7K 6.0.0 – 6.0.14

Solutions and workarounds

Install the latest version of FortiOS to fix the vulnerability.

Detection of possible misuse

The MOD report describes several ways to see if a Fortigate device was also compromised by the same campaign. An extensive write up of the steps can be found in the MOD report. Basically, a number of commands must be executed via the Fortigate CLI:

  • Check if the files /bin/smartctl or /data/bin/smartctl exist on the device by executing the following commands:fnsysctl ls -la /bin
    fnsysctl ls -la /data/bin

    If the files do exist and the timestamp on the files indicate that these are newer than the majority of other files, it is likely that the binary was tampered with. Note: the MOD report also states that smartctl not being a symlink is an indication that the file was tampered with. However, this does not seem to be an indication on recent Fortigate devices.

  • Check which TCP connections are made from the Fortigate to external IP’s using the following command:diagnose sys tcpsock

    If outgoing connections are found, it is important to check which IP addresses are involved (and if connections towards these IP addresses are expected). Especially if connections are made from the process httpsd, these connections are considered suspicious.
  • Check for the existence of processes named httpsd. It is known that the malware uses this process name to hide its existence. To do so, execute the following commands:To request the process IDs  (PIDs) of all processes named httpsd:
    diagnose sys process pidof httpsd

    To display process information for all suspicious PIDs:
    diagnose sys process dump <PID>

    If the Gid of a suspicious process is 90 or if processes are found using deleted entries towards /data2/httpsd or /data2/.bd.key/preload.so, the device is probably infected with the malware (according to the MOD). Note: you can execute the command with the additions | grep -i Gid and | grep -i data to filter out the relevant data.
  • Check all references to /lib/preload.so in PID 1 by executing the following command:diagnose sys process dump 1

    If (deleted) references to /lib/preload.so are found, this should be considered a strong indication that the malware was deployed on the device.

In addition, Fortinet already described a set of checks at the time that the vulnerability was disclosed. These checks also help to determine if a device was compromised:

  • Check for application crashes of the sslvpnd daemon around the time that the system was vulnerable. You can do so by issuing the following command:diagnose debug crashlog read | grep -i sslvpn
  • Check for the existence of the following files:/data/lib/libips.bak

/data/lib/libgif.so

/data/lib/libiptcp.so

/data/lib/libipudp.so

/data/lib/libjepg.so

/var/.sslvpnconfigbk

/data/etc/wxd.conf

/flash

  • Check for suspicious outgoing connections. This check was already described in the list of checks from the MOD report.

More information

Managed Security Services (MSS) customers

If you have a Pinewood Managed Security Services contract, Pinewood will conduct additional checks on Fortigate devices.

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Critical vulnerability in Atlassian Confluence

For English, see below.

Beschrijving

Er bevindt zich een ernstige kwetsbaarheid (CVE-2023-22527) in Atlassian Confluence Data Center en Server die kwaadwillenden kunnen misbruiken om op afstand willekeurige code uit te voeren op het kwetsbare systeem. Om misbruik te kunnen maken van de kwetsbaarheden hoeft een aanvaller zich niet te authenticeren, wat de kans op misbruik sterk vergroot.

Pinewood verwacht op korte termijn aanvalscode aangezien het type kwetsbaarheid (template injection) ook in het verleden vaak eenvoudig misbruikt is.

Kwetsbare versies

De kwetsbaarheid bevindt zich in versies van beide producten die voor 5 december 2023 zijn uitgebracht. Indien op het systeem een reguliere update van ná die datum is geïnstalleerd, is de kwetsbaarheid niet meer aanwezig. De onderstaande versies van Confluence Server en Data Center bevatten de genoemde kwetsbaarheid:

  • 8.0 (alle versies)
  • 8.1 (alle versies)
  • 8.2 (alle versies)
  • 8.3 (alle versies)
  • 8.4 (alle versies)
  • 8.5.0 t/m 8.5.3

Cloud-installaties, herkenbaar aan het atlassian.net-domein, zijn niet (meer) kwetsbaar.

Oplossingen en tijdelijke mitigaties

De kwetsbaarheid is verholpen in onderstaande versies die al december 2023 zijn uitgebracht:

  • Confluence Server en Data Center 8.5.4
  • Confluence Data Center 8.6.0
  • Confluence Data Center 8.7.1

Er zijn geen tijdelijke mitigaties bekend die misbruik van de kwetsbaarheid kunnen voorkomen.

Detectie van mogelijk misbruik

Atlassian geeft aan dat het lastig is om alle tekenen van mogelijk misbruik te beschrijven vanwege het feit dat er meerdere manieren voor misbruik bestaan.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center (SOC). Het Pinewood SOC is bereikbaar via +31 15 251 36 33 en via soc@pinewood.nl.

===== ENGLISH =====

Description

A critical vulnerability (CVE-2023-22527) was fixed in Atlassian Confluence Data Center and Server, which an attacker can exploit for remote code execution. Exploitation does not require authentication to the server, which increases the likelihood of exploitation.

Pinewood expects exploit code in the short term as this type of vulnerability (template injection) has proven to be easily exploitable in the past.

Vulnerable versions

The vulnerability exists in versions of the products released before 5 December 2023. If a regular update is installed on the system that was released after this date, the vulnerability is already patched. The following versions of Confluence Server and Data Center are impacted by the vulnerability:

  • 8.0 (all versions)
  • 8.1 (all versions)
  • 8.2 (all versions)
  • 8.3 (all versions)
  • 8.4 (all versions)
  • 8.5.0 up to and including 8.5.3

Cloud installations, identified by the atlassian.net domain, are not vulnerable (anymore).

Solutions and workarounds

The vulnerability is fixed in the following versions of Confluence which were already released in December 2023:

  • Confluence Server and Data Center 8.5.4
  • Confluence Data Center 8.6.0
  • Confluence Data Center 8.7.1

Detection of possible misuse

Atlassian states that the possibility of multiple entry points, along with chained attacks, makes it difficult to list all possible indicators of compromise.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center (SOC). The Pinewood SOC can be contacted at +31 15 750 1331 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Critical vulnerabilities in Ivanti VPN gateways

For English, see below.

Beschrijving

Er bevinden zich twee ernstige kwetsbaarheden in Ivanti Connect Secure (ICS) (voorheen bekend als Pulse Connect Secure), Ivanti Policy Security en Ivanti ZTA gateways. Deze kwetsbaarheden bevinden zich in alle ondersteunde versies van deze producten. De kwetsbaarheden stellen een kwaadwillende in staat om een systeem over te nemen en zich toegang te verschaffen tot het netwerk. De kwetsbaarheden werden reeds op kleine, gerichte schaal misbruikt voordat Ivanti de kwetsbaarheden heeft kunnen verhelpen.

De eerste kwetsbaarheid (CVE-2023-46805) stelt een kwaadwillende in staat om de authenticatie op het systeem te omzeilen, zelfs als het systeem is ingesteld voor het afdwingen van multifactorauthenticatie. De tweede kwetsbaarheid (CVE-2024-21887) betreft een commandinjectie-kwetsbaarheid die een aanvaller in staat stelt om willekeurige commando’s op het systeem uit te voeren. Normaal gesproken is deze tweede kwetsbaarheid alleen te misbruiken door een geauthenticeerde beheerder, maar in combinatie met de eerste kwetsbaarheid is het mogelijk om deze kwetsbaarheid uit te buiten zonder authenticatie.

Kwetsbare versies

Alle ondersteunde versies van Ivanti Connect Secure, Ivanti Policy Security en Ivanti ZTA gateways bevatten de kwetsbaarheden. Ook niet-ondersteunde versies zijn mogelijk kwetsbaar. Onderstaande lijst toont de versies die in ieder geval kwetsbaar zijn en waarvoor Ivanti in de komende weken updates zal uitbrengen:

  • 9.1
  • 22.1
  • 22.2
  • 22.3
  • 22.4
  • 22.5
  • 22.6

Misbruik

Volgens Ivanti maken aanvallers op dit moment op zeer beperkte schaal misbruik van deze kwetsbaarheid. Misbruik zou te herkennen zijn aan het feit dat een legitiem CGI-bestand (compcheck.cgi) is aangepast en JavaScript is toegevoegd aan de Web SSL VPN code op het systeem, teneinde de inloggegevens van gebruikers te kunnen onderscheppen. In totaal zouden minder dan 10 klanten van het bedrijf door de aanval geraakt zijn. Nu details m.b.t. deze kwetsbaarheid bekend zijn geworden, is de kans groot dat ook andere actoren zullen proberen om de details van deze kwetsbaarheid te achterhalen (en te misbruiken).

Oplossingen en tijdelijke mitigaties

Ivanti heeft aangegeven dat het in de komende weken (in de periode 22 januari t/m 19 februari) patches zal uitbrengen voor de verschillende versies van de kwetsbare producten. Om in de tussentijd misbruik van de kwetsbaarheid te voorkomen, is het essentieel om een mitigerende workaround door te voeren. Deze workaround bestaat uit het toepassen van een XML-bestand op kwetsbare systemen. Zie het artikel van Ivanti voor instructies voor het toepassen van deze XML.

Detectie van mogelijk misbruik

Ivanti raadt aan gebruik te maken van de Ivanti Integrity Checker Tool (ICT) om de integriteit van een systeem te verifiëren. Daarnaast zijn er door Volexity aanvullende indicatoren beschikbaar gesteld – waaronder IP-adressen en domeinnamen – die kunnen helpen om eventueel misbruik te herkennen.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center (SOC). Het Pinewood SOC is bereikbaar via +31 15 251 36 33 en via soc@pinewood.nl.

===== ENGLISH =====

Description

Two critical vulnerabilities were reported in Ivanti Connect Secure (ICS) (formerly known as Pulse Connect Secure), Ivanti Policy Security and Ivanti ZTA gateways. The vulnerabilities exist in all supported versions of these products. The vulnerabilities allow a malicious actor to take over a system and gain access to the network. An unknown threat actor was already exploiting these vulnerabilities on a small, targeted scale before Ivanti could address them.

The first vulnerability (CVE-2023-46805) allows a malicious actor to bypass system authentication, even if the system is configured to enforce multi-factor authentication. The second vulnerability (CVE-2024-21887) is a command injection vulnerability that enables an attacker to execute arbitrary commands on the device. Normally, this second vulnerability can only be exploited by an authenticated administrator, but when combined with the first vulnerability, it is possible to exploit this vulnerability without authentication.

Vulnerable versions

All supported versions of Ivanti Connect Secure and Ivanti Policy Security gateways are vulnerable. Unsupported versions may also be vulnerable. The list below shows the versions that are reported vulnerable and for which Ivanti will release updates in the coming weeks:

  • 9.1
  • 22.1
  • 22.2
  • 22.3
  • 22.4
  • 22.5
  • 22.6

Exploitation

According to Ivanti, attackers are currently exploiting these vulnerabilities on a very limited scale. Exploitation can be identified by the modification of a legitimate CGI file (compcheck.cgi) and the addition of JavaScript to the Web SSL VPN code on the device, allowing interception of user login credentials. In total, fewer than 10 customers of the company are believed to have been affected by the attack. Now that details about this vulnerability are known, there is a high likelihood that other actors will attempt to discover and exploit the vulnerability details.

Solutions and workarounds

Ivanti has stated that it will release patches for the various versions of the vulnerable products in the coming weeks (between January 22 and February 19). To prevent exploitation of the vulnerability in the meantime, it is essential to implement a mitigating workaround. This workaround involves applying an XML file to vulnerable devices. Refer to Ivanti’s article for instructions on applying this XML.

Detection of possible misuse

Ivanti recommends using the Ivanti Integrity Checker Tool (ICT) to verify the integrity of a device. Additionally, Volexity has provided additional indicators, including IP addresses and domain names, that can help identify potential exploitation.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center (SOC). The Pinewood SOC can be contacted at +31 15 251 36 33 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl