Update

Het Cybersecurity Dreigingsbeeld en advies rapport is uit! Download hem hier.

Lees verder

Pinewood Security Bulletin – Critical vulnerability in Microsoft Outlook

Pinewood Security Bulletin – Critical vulnerability in Microsoft Outlook

For English, see below.

Beschrijving

Microsoft heeft een update uitgebracht voor Microsoft Outlook die een ernstige kwetsbaarheid in deze e-mailclient verhelpt. De kwetsbaarheid stelt een kwaadwillende in staat om authenticatiegegevens van een gebruiker – in de vorm van een Net-NTLMv2-hash – buit te maken, zonder dat daarvoor gebruikersinteractie is vereist. Dat houdt in dat de kwetsbaarheid misbruikt kan worden door alleen een malafide e-mail te versturen naar een slachtoffer.

Bij succesvol misbruik zal Outlook een verbinding maken met een externe UNC-lokatie, onder controle van de aanvaller. Bij het maken van deze verbinding zal de client automatisch proberen in te loggen als de eindgebruiker, waarbij de gebruikersnaam en de Net-NTLMv2 wachtwoordhash bekend worden op de server van de aanvaller. Daarnaast kan de authenticatiepoging overgenomen worden en doorgezet worden naar een legitieme server om namens de gebruiker in te loggen via een zogeheten ‘NTLM relay’-aanval.

Kwetsbare Versies

De kwetsbaarheid bevindt zich in onderstaande Microsoft-producten:

  • Microsoft 365 Apps for Enterprise for 32-bit Systems
  • Microsoft 365 Apps for Enterprise for 64-bit Systems
  • Microsoft Office 2019 for 32-bit editions
  • Microsoft Office 2019 for 64-bit editions
  • Microsoft Office LTSC 2021 for 64-bit editions
  • Microsoft Outlook 2013 RT Service Pack 1
  • Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
  • Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
  • Microsoft Outlook 2016 (64-bit edition)

Oplossingen en tijdelijke mitigaties

Microsoft heeft updates voor de kwetsbare producten uitgebracht waarmee deze kwetsbaarheid kan worden verholpen. Organisaties wordt dan ook aangeraden zo spoedig mogelijk deze update uit te rollen naar clients.

Hoewel er geen specifieke workarounds voor deze kwetsbaarheid zijn te implementeren, bestaan er wel een aantal best practices die uitbuiting van deze kwetsbaarheid bemoeilijken en die mogelijk al door de organisatie zijn geïmplementeerd:

  • Sta alleen essentiële verbindingen toe vanuit de infrastructuur naar het internet. Specifiek voor deze kwetsbaarheid is het van belang dat vanuit het netwerk géén verbindingen over 137/udp, 138/udp, 139/tcp en 445/tcp naar (onvertrouwde) externe IP-adressen worden toegestaan. Hou er wel rekening mee dat dit niet zomaar mogelijk is bij gebruik van Azure Files en dat deze poorten mogelijk wél geopend zijn op het moment dat een gebruiker niet verbonden is met het bedrijfsnetwerk. Dergelijke beperkingen moet men daarom ook afdwingen via de lokale (Windows) firewall.
  • Maak gebruik van maatregelen als SMB signing, LDAP signing, LDAP channel binding en HTTP Extended Protection for Authentication (EPA). Deze maatregelen voorkomen een succesvolle ‘NTLM relay’-aanval, maar voorkomen niet dat de Net-NTLMv2 wachtwoordhash uitlekt.
  • Zorg ervoor dat de WebDAV-client op systemen is uitgeschakeld of van systemen is verwijderd. Dit voorkomt dat de uitgaande verbinding over een andere poort dan 445/tcp uitgevoerd kan worden. De WebDAV-client is alleen geïnstalleerd op werkplekken, niet op servers. De WebDAV-client staat standaard uitgeschakeld, maar kan door verschillende omstandigheden automatisch ingeschakeld worden.

Detectie van mogelijk misbruik

Controle van Exchange-items

Aangezien de kwetsbaarheid al (op beperkte schaal) misbruikt werd voordat deze door Microsoft kon worden verholpen, raadt Microsoft aan om een controle uit te voeren op beschikbare Exhange-informatie om te zien of deze kwetsbaarheid al eerder is misbruikt. Deze controle biedt Microsoft aan in de vorm van een Powershell-script dat controleert of mail-, kalender- of taakitems een UNC-pad bevatten. Het script en informatie over hoe dit te gebruiken is, is terug te vinden op Github: https://github.com/microsoft/CSS-Exchange/blob/a4c096e8b6e6eddeba2f42910f165681ed64adf7/docs/Security/CVE-2023-23397.md

Uitgaande 445/tcp-verbindingen

Volgens Microsoft is specifiek het blokkeren van 445/tcp een mitigerende maatregel die kan voorkomen dat NTLM-gegevens worden verstuurd naar externe file shares. Het Pinewood SOC monitoort bij SOC-klanten al enige tijd op toegestane verbindingen naar externe IP-adressen over 445/tcp en meldt eventuele bijzonderheden die hierbij worden ontdekt. Houd er rekening mee dat misbruik mogelijk ook kan plaatsvinden via andere poorten of via bijvoorbeeld thuisnetwerken waardoor deze maatregel niet alle exploitatiepogingen zal helpen detecteren.

Meer informatie

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/

http://aka.ms/smbintercept

https://support.microsoft.com/nl-nl/topic/voorkomen-dat-smb-verkeer-later-wordt-verbonden-en-het-netwerk-binnenkomt-of-verlaat-c0541db7-2244-0dce-18fd-14a3ddeb282a

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

Microsoft has released an update for Microsoft Outlook that addresses a serious vulnerability in this email client. The vulnerability allows a malicious actor to steal a user’s authentication credentials – in the form of a Net-NTLMv2 hash – without requiring any user interaction. This means that the vulnerability can be exploited simply by sending a malicious email to a victim.

If successfully exploited, Outlook will establish a connection with an external UNC location under the control of the attacker. During this connection, the client will automatically attempt to log in as the end user, revealing the username and Net-NTLMv2 password hash to the attacker’s server. Additionally, the authentication attempt can be intercepted and forwarded to a legitimate server in a so-called “NTLM relay” attack, allowing the attacker to log in on behalf of the user.

Vulnerable versions

The vulnerability can be exploited in the following Microsoft-products:

  • Microsoft 365 Apps for Enterprise for 32-bit Systems
  • Microsoft 365 Apps for Enterprise for 64-bit Systems
  • Microsoft Office 2019 for 32-bit editions
  • Microsoft Office 2019 for 64-bit editions
  • Microsoft Office LTSC 2021 for 64-bit editions
  • Microsoft Outlook 2013 RT Service Pack 1
  • Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
  • Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
  • Microsoft Outlook 2016 (64-bit edition)

Solutions and workarounds

Microsoft has released updates for the vulnerable products that address this vulnerability. Organizations are advised to roll out this update to clients as soon as possible.

Although there are no specific workarounds for this vulnerability, there are several best practices that make exploitation of this vulnerability more difficult and that may already have been implemented by the organization:

  • Allow only essential connections from the infrastructure to the internet. Specifically for this vulnerability, it is important that no connections over 137/udp, 138/udp, 139/tcp, and 445/tcp to (untrusted) external IP addresses are allowed from the network. Note, however, that this may not be feasible when using Azure Files, and these ports may be open when a user is not connected to the corporate network. Such restrictions must therefore also be enforced through the local (Windows) firewall.
  • Use measures such as SMB signing, LDAP signing, LDAP channel binding, and HTTP Extended Protection for Authentication (EPA). These measures prevent a successful “NTLM relay” attack, but do not prevent the Net-NTLMv2 password hash from leaking.
  • Ensure that the WebDAV client is disabled or removed from systems. This prevents the outbound connection from being performed on a port other than 445/tcp. The WebDAV client is only installed on workstations, not on servers. The WebDAV client is disabled by default, but may be automatically enabled due to various circumstances.

Detection of possible misuse

Check the Exchange-Items

As the vulnerability was already being exploited (albeit on a limited scale) before Microsoft could fix it, Microsoft recommends checking available Exchange information to see if this vulnerability has already been exploited. Microsoft offers this verification in the form of a Powershell script that checks whether mail, calendar, or task items contain a UNC path. The script and information on how to use it can be found on Github: https://github.com/microsoft/CSS-Exchange/blob/a4c096e8b6e6eddeba2f42910f165681ed64adf7/docs/Security/CVE-2023-23397.md

Outgoing 445/tcp connections

According to Microsoft, specifically blocking 445/tcp is a mitigating measure that can prevent NTLM data from being sent to external file shares. The Pinewood SOC has been monitoring allowed connections to external IP addresses over 445/tcp for SOC clients for some time and reports any anomalies that are discovered. Keep in mind that exploitation may also occur through other ports or through home networks, so this measure will not detect all exploitation attempts.

More information

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/

http://aka.ms/smbintercept

https://support.microsoft.com/nl-nl/topic/voorkomen-dat-smb-verkeer-later-wordt-verbonden-en-het-netwerk-binnenkomt-of-verlaat-c0541db7-2244-0dce-18fd-14a3ddeb282a

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Multiple vulnerabilities fixed in Fortinet products

Pinewood Security Bulletin – Multiple vulnerabilities fixed in Fortinet products

For English, see below.

Beschrijving

Op dinsdag 7 maart 2023 heeft Fortinet bekend gemaakt dat er meerdere kwetsbaarheden zijn oplost in verschillende producten, waaronder FortiOS. De ernstigste kwetsbaarheid met een CVSS score van 9.3 (‘Kritiek’) bevindt zich in FortiOS en FortiProxy. Het gaat om een “Heap buffer underflow” kwetsbaarheid in de management webinterface (FG-IR-23-001).

De FG-IR-23-001 kwetsbaarheid maakt het in uitzonderlijke gevallen mogelijk om het systeem over te nemen (“remote code execution”), maar is in meerdere producten beperkt tot een Denial-of-Service (DoS) aanval. Fortinet heeft in de PSIRT melding een overzicht gegeven van systemen waarop uitsluitend de Denial-of-Service variant te gebruiken is. Deze systemen zijn kunnen dus niet over te nemen via deze kwetsbaarheid.

Voor zover op dit moment bekend is bij Fortinet, zijn er geen gevallen bekend van actief misbruik van de FG-IR-23-001 kwetsbaarheid.

In de bekendmaking van 7 maart is aangegeven dat de volgende kwetsbaarheden zijn opgelost:

  • FG-IR-23-001 (CVSS 9.3): FortiOS / FortiProxy – Heap buffer underflow in administrative interface
  • FG-IR-22-401 (CVSS 7.8): FortiOS / FortiProxy – Path traversal vulnerability allows VDOM escaping
  • FG-IR-22-309 (CVSS 7.8): FortiNAC – Multiple privilege escalation via sudo command
  • FG-IR-23-050 (CVSS 7.5): FortiSOAR – Improper Authorization in request headers
  • FG-IR-22-254 (CVSS 7.2): FortiWeb – command injection in webserver
  • FG-IR-22-281 (CVSS 7.1): FortiNAC – Multiple Reflected XSS
  • FG-IR-22-388 (CVSS 6.8): FortiRecorder – DoS in login authentication mechanism
  • FG-IR-22-369 (CVSS 6.5): FortiOS – Path traversal in execute command
  • FG-IR-22-477 (CVSS 6.4): FortiOS & FortiProxy – Access of NULL pointer in SSLVPNd
  • FG-IR-22-364 (CVSS 5.2): FortiOS / FortiProxy – Unauthenticated access to static files containing logging information
  • FG-IR-21-218 (CVSS 5.2): FortiWeb and FortiRecorder – Arbitrary file read through command line pipe
  • FG-IR-18-232 (CVSS 5.1): FortiManager, FortiAnalyzer, FortiPortal & FortiSwitch – Information disclosure through diagnose debug commands
  • FG-IR-22-447 (CVSS 4.6): FortiAnalyzer — the log-fetch client request password is shown in clear text in the heartbeat response
  • FG-IR-22-488 (CVSS 4.0): FortiAnalyzer – CSV injection in macro name
  • FG-IR-20-078 (CVSS 3.5): FortiAuthenticator, FortiDeceptor & FortiMail – Improper restriction over excessive authentication attempts

De rest van deze security bulletin beschrijft de FG-IR-23-001 kwetsbaarheid. Zie de PSIRT meldingen van Fortinet voor meer informatie over de andere kwetsbaarheden. Onder ‘Meer informatie’ is een link te vinden naar de website.

Kwetsbare versies

Onderstaande lijst met software en versienummers is kwetsbaar voor FG-IR-23-001 wanneer er toegang is tot de management webinterface (GUI):

  • FortiOS 7.2.0 – 7.2.3
  • FortiOS 7.0.0 – 7.0.9
  • FortiOS 6.4.0 – 6.4.11
  • FortiOS 6.2.0 – 6.2.12
  • FortiOS 6.0 (alle versies)
  • FortiProxy 7.2.0 – 7.2.2
  • FortiProxy 7.0.0 – 7.0.8
  • FortiProxy 2.0.0 – 2.0.11
  • FortiProxy 1.2 (alle versies)
  • FortiProxy 1.1 (alle versies)

Oplossingen en tijdelijke mitigaties

Fortinet adviseert om de volgende versie (of hoger) te installeren om kwetsbaarheid FG-IR-23-001 te verhelpen:

  • FortiOS 7.2.4
  • FortiOS 7.0.10
  • FortiOS 6.4.12
  • FortiOS 6.2.13
  • FortiProxy 7.2.3
  • FortiProxy 7.0.9
  • FortiProxy 2.0.12
  • FortiOS-6K7K 7.0.10
  • FortiOS-6K7K 6.4.12
  • FortiOS-6K7K 6.2.13

Let op dat FortiOS 6.0, FortiProxy 1.1 en FortiProxy 1.2 niet langer ondersteund zijn.

Als een update niet mogelijk is, dan kunnen de volgende tijdelijke mitigerende maatregelen genomen worden:

  • Schakel de HTTP(S) management interface uit
  • Beperk de interface waarop de HTTP(S) management interface actief is
  • Beperk toegang tot de HTTP(S) management interfaces door middel van Local In policies. De Local In rulebase wordt standaard niet weergegeven in de GUI, dit kan aangezet worden onder System -> Feature Visibility.
  • Stel voor alle admin users trusted hosts in

Meer informatie

Managed Security Services (MSS) klanten

Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden.

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

On Tuesday 7 March 2023, Fortinet announced that multiple vulnerabilities have been resolved in various products, including FortiOS. The most serious vulnerability with a CVSS score of 9.3 (‘Critical’) is in FortiOS and FortiProxy. It concerns a “Heap buffer underflow” vulnerability in the management web interface (FG-IR-23-001).

The FG-IR-23-001 vulnerability makes it possible in exceptional cases to take over the system (“remote code execution”), but is limited to a denial-of-service (DoS) attack in several products. In the PSIRT notification, Fortinet listed systems on which only the Denial-of-Service variant can be used. These systems can therefore not be taken over via this vulnerability.

As far as Fortinet is currently aware, there are no known cases of active misuse of the FG-IR-23-001 vulnerability.

The 7 March announcement stated that the following vulnerabilities have been resolved:

  • FG-IR-23-001 (CVSS 9.3): FortiOS / FortiProxy – Heap buffer underflow in administrative interface
  • FG-IR-22-401 (CVSS 7.8): FortiOS / FortiProxy – Path traversal vulnerability allows VDOM escaping
  • FG-IR-22-309 (CVSS 7.8): FortiNAC – Multiple privilege escalation via sudo command
  • FG-IR-23-050 (CVSS 7.5): FortiSOAR – Improper Authorization in request headers
  • FG-IR-22-254 (CVSS 7.2): FortiWeb – command injection in webserver
  • FG-IR-22-281 (CVSS 7.1): FortiNAC – Multiple Reflected XSS
  • FG-IR-22-388 (CVSS 6.8): FortiRecorder – DoS in login authentication mechanism
  • FG-IR-22-369 (CVSS 6.5): FortiOS – Path traversal in execute command
  • FG-IR-22-477 (CVSS 6.4): FortiOS & FortiProxy – Access of NULL pointer in SSLVPNd
  • FG-IR-22-364 (CVSS 5.2): FortiOS / FortiProxy – Unauthenticated access to static files containing logging information
  • FG-IR-21-218 (CVSS 5.2): FortiWeb and FortiRecorder – Arbitrary file read through command line pipe
  • FG-IR-18-232 (CVSS 5.1): FortiManager, FortiAnalyzer, FortiPortal & FortiSwitch – Information disclosure through diagnose debug commands
  • FG-IR-22-447 (CVSS 4.6): FortiAnalyzer — the log-fetch client request password is shown in clear text in the heartbeat response
  • FG-IR-22-488 (CVSS 4.0): FortiAnalyzer – CSV injection in macro name
  • FG-IR-20-078 (CVSS 3.5): FortiAuthenticator, FortiDeceptor & FortiMail – Improper restriction over excessive authentication attempts

Vulnerable versions

The following list of software and version numbers is vulnerable to FG-IR-23-001 when the management web interface (GUI) is accessible:

  • FortiOS 7.2.0 – 7.2.3
  • FortiOS 7.0.0 – 7.0.9
  • FortiOS 6.4.0 – 6.4.11
  • FortiOS 6.2.0 – 6.2.12
  • FortiOS 6.0 (all versions)
  • FortiProxy 7.2.0 – 7.2.2
  • FortiProxy 7.0.0 – 7.0.8
  • FortiProxy 2.0.0 – 2.0.11
  • FortiProxy 1.2 (all versions)
  • FortiProxy 1.1 (all versions)

Solutions and workarounds

Fortinet recommends installing the following version (or later) to resolve the FG-IR-23-001 vulnerability:

  • FortiOS 7.2.4
  • FortiOS 7.0.10
  • FortiOS 6.4.12
  • FortiOS 6.2.13
  • FortiProxy 7.2.3
  • FortiProxy 7.0.9
  • FortiProxy 2.0.12
  • FortiOS-6K7K 7.0.10
  • FortiOS-6K7K 6.4.12
  • FortiOS-6K7K 6.2.13

Please note that FortiOS 6.0, FortiProxy 1.1 and FortiProxy 1.2 are no longer supported.

If an update is not possible, the following temporary mitigation measures can be taken:

  • Disable the HTTP(S) management interface
  • Restrict the interface on which the HTTP(S) management interface is active
  • Restrict access to the HTTP(S) management interfaces using Local In policies. By default, the Local In rulebase is not displayed in the GUI, this can be enabled under System -> Feature Visibility.
  • Set trusted hosts for all admin users

More information

Managed Security Services (MSS) customers

If you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from these vulnerabilities.

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – ManageEngine critical vulnerability

Pinewood Security Bulletin – ManageEngine critical vulnerability – CVE-2022-47966

For English, see below

Beschrijving

Recentelijk is een kwetsbaarheid in Zoho ManageEngine-producten aan het licht gekomen, welke door het NCSC is ingeschaald als high/high. Het betreft CVE-2022-47966, een kwetsbaarheid die op afstand – en zonder authenticatie – kan worden uitgebuit voor het uitvoeren van willekeurige code. Afhankelijk van het specifieke ManageEngine product is deze kwetsbaarheid uitbuitbaar als SAML single-sign-on momenteel ingeschakeld is, of ooit ingeschakeld is geweest. De kwetsbaarheid maakt het mogelijk om op afstand willekeurige code uit te voeren met systeemrechten. Op deze manier kan een kwetsbaar systeem volledig worden overgenomen en kwaadaardige software worden geïnstalleerd zoals ransomware. Hoewel er op dit moment nog geen melding is gemaakt van actief misbruik, hebben onderzoekers van Horizon3 aangegeven binnenkort voorbeeldcode uit te geven waarmee deze kwetsbaarheid kan worden misbruikt. Het uitbrengen van deze code vergroot de kans op – grootschalig – misbruik van deze kwetsbaarheid.

Kwetsbare versies

Updates voor kwetsbare producten zijn in oktober en november van 2022 uitgebracht.

Producten die kwetsbaar zijn als SAML SSO momenteel is ingeschakeld:

Access Manager Plus  | 4307 en eerder

Analytics Plus | 5140 en eerder

Application Control Plus | 10.1.2220.17 en eerder

Browser Security Plus | 11.1.2238.5 en eerder

Device Control Plus | 10.1.2220.17 en eerder

Endpoint Central | 10.1.2228.10 en eerder

Endpoint Central MSP | 10.1.2228.10 en eerder

Endpoint DLP | 10.1.2137.5 en eerder

Key Manager Plus | 6400 en eerder

OS Deployer | 1.1.2243.0 en eerder

PAM 360 | 5712 en eerder

Password Manager Pro | 12123 en eerder

Patch Manager Plus | 10.1.2220.17 en eerder

Remote Access Plus | 10.1.2228.10 en eerder

Remote Monitoring and Management (RMM) | 10.1.40 en eerder

Vulnerability Manager Plus | 10.1.2220.17 en eerder

 

Producten die kwetsbaar zijn als SAML SSO ooit is ingeschakeld:

Active Directory 360 | 4309 en eerder

ADAudit Plus | 7080 en eerder

ADManager Plus | 7161 en eerder

ADSelfService Plus | 6210 en eerder

Asset Explorer | 6982 en eerder

ServiceDesk Plus | 14003 en eerder

ServiceDesk Plus MSP | 13000 en eerder

SupportCenter Plus | 11017 tot 11025

 

Oplossing en workarounds

Pinewood volgt het advies van ManageEngine om de kwetsbare versies bij te werken naar de meest recente, niet-kwetsbare versie. Deze staan beschreven op https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html. Naast het advies op kwetsbare versies uit te faseren, adviseert Pinewood ook om kwetsbare apparaten te onderzoeken op sporen van misbruik.

Detectie van mogelijk misbruik

De onderzoekers van Horizon3 hebben Indicators of Compromise (IoC’s) vrijgegeven om te kunnen onderzoeken of een compromittatie mogelijk al heeft plaatsgevonden. Hierin worden de logs van twee producten beschreven: ManageEngine ServiceDesk Plus 14003 en ManageEngine Endpoint Central 10.1.2228.10. De onderzoekers geven daarbij aan dat andere kwetsbare ManageEngine producten mogelijk dezelfde IoC-logs bevatten, maar dat hebben ze nog niet kunnen bevestigen. De logs van deze producten zijn te vinden in de “logs” folder van de installatiefolder, bijvoorbeeld C:\Program Files\ManageEngine\ServiceDesk\logs.

De benoemde IoC binnen de logs is als volgt:

[tijd]|[datum]|[SYSERR]|[INFO]|[59]: com.adventnet.authentication.saml.SamlException: Signature validation failed. SAML Response rejected|

Een dergelijke logregel wordt veroorzaakt omdat een aanvaller een SAML request moet maken met een ongeldige signature om de kwetsbaarheid uit te buiten.

Meer informatie

NCSC advisory: https://advisories.ncsc.nl/advisory?id=NCSC-2023-0023

DTC post: https://www.digitaltrustcenter.nl/nieuws/kans-op-misbruik-kwetsbaarheid-zoho-manageengine

Horizon3 IoC onderzoek: https://www.horizon3.ai/manageengine-cve-2022-47966-iocs/

ManageEngine patch-lijst: https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html

Vragen

Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 261 36 33) of via e-mail soc@pinewood.nl.

=====ENGLISH VERSION========

Description

Recently, a vulnerability in Zoho ManageEngine products has come to light, which has been classified by the NCSC as high/high. It concerns CVE-2022-47966, a vulnerability that can be exploited remotely and without authentication to execute arbitrary code. Depending on the specific ManageEngine product, this vulnerability is exploitable if SAML single-sign-on is currently enabled or has ever been enabled. The vulnerability allows for the remote execution of arbitrary code with system privileges. In this way, a vulnerable system can be completely taken over and malicious software can be installed, such as ransomware. Although there is currently no report of active abuse, researchers from Horizon3 have indicated that they will release sample code soon that can be used to exploit this vulnerability. The release of this code increases the likelihood of large-scale abuse of this vulnerability.

Vulnerable versions

Updates for vulnerable products were released in October and November of 2022.

Products that are vulnerable if SAML SSO is currently enabled:

Access Manager Plus | 4307 and earlier

Analytics Plus | 5140 and earlier

Application Control Plus | 10.1.2220.17 and earlier

Browser Security Plus | 11.1.2238.5 and earlier

Device Control Plus | 10.1.2220.17 and earlier

Endpoint Central | 10.1.2228.10 and earlier

Endpoint Central MSP | 10.1.2228.10 and earlier

Endpoint DLP | 10.1.2137.5 and earlier

Key Manager Plus | 6400 and earlier

OS Deployer | 1.1.2243.0 and earlier

PAM 360 | 5712 and earlier

Password Manager Pro | 12123 and earlier

Patch Manager Plus | 10.1.2220.17 and earlier

Remote Access Plus | 10.1.2228.10 and earlier

Remote Monitoring and Management (RMM) | 10.1.40 and earlier

Vulnerability Manager Plus | 10.1.2220.17 and earlier

 

Products that are vulnerable if SAML SSO has ever been enabled:

Active Directory 360 | 4309 and earlier

ADAudit Plus | 7080 and earlier

ADManager Plus | 7161 and earlier

ADSelfService Plus | 6210 and earlier

Asset Explorer | 6982 and earlier

ServiceDesk Plus | 14003 and earlier

ServiceDesk Plus MSP | 13000 and earlier

SupportCenter Plus | 11017 to 11025

Solutions and workarounds

Pinewood is following the advice of ManageEngine to update the vulnerable versions to the latest, non-vulnerable version. These are described on https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html. In addition to the advice to phase out vulnerable versions, Pinewood also advises to investigate vulnerable devices for signs of abuse.

Detection of possible abuse

The researchers from Horizon3 have released Indicators of Compromise (IoCs) to investigate whether a compromise may have occurred. This includes the logs of two products: ManageEngine ServiceDesk Plus 14003 and ManageEngine Endpoint Central 10.1.2228.10. The researchers indicate that other vulnerable ManageEngine products may contain the same IoC logs, but they have not yet been able to confirm this. The logs of these products can be found in the “logs” folder of the installation folder, for example C:\Program Files\ManageEngine\ServiceDesk\logs.

The specified IoC within the logs is as follows:

[time]|[date]|[SYSERR]|[INFO]|[59]: com.adventnet.authentication.saml.SamlException: Signature validation failed. SAML Response rejected|

In order for an attacker to execute this RCE, they will need to craft a SAML request with an invalid signature hence the exception.

Extra info

NCSC advisory (dutch): https://advisories.ncsc.nl/advisory?id=NCSC-2023-0023

DTC post (dutch): https://www.digitaltrustcenter.nl/nieuws/kans-op-misbruik-kwetsbaarheid-zoho-manageengine

Horizon3 IoC research: https://www.horizon3.ai/manageengine-cve-2022-47966-iocs/

ManageEngine patch list: https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html

Questions

For questions related to these vulnerabilitie(s), please contact the Pinewood Servicedesk (015- 251 3633) or via e-mail soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – FortiOS critical vulnerability in SSL-VPN – FG-IR-22-398 – CVE-2022-42475

UPDATE: Pinewood Security Bulletin – FortiOS critical vulnerability in SSL-VPN – FG-IR-22-398 – CVE-2022-42475

For English, see below

Update 2022-12-23 (NL/EN)

Fortinet heeft een nieuwe versie van de security bulletin uitgebracht en aangegeven dat FortiProxy ook kwetsbaar is. Daarnaast zijn een aantal indicatoren (IoC’s) verwijderd.

Fortinet release a new version of the security advisory indicating that FortiProxy is also vulnerable. Additionally, several Indicators of Compromise have been removed.

Beschrijving

Er is een kritieke kwetsbaarheid opgelost in FortiOS SSL-VPN en FortiProxy. De kwetsbaarheid staat een ongeauthenticeerde aanvaller toe om het systeem over te nemen. Specifiek is er sprake van een ‘unauthenticated heap-based buffer overflow in sslvpnd’. Fortinet meldt dat er actief misbruik gemaakt wordt van deze kwetsbaarheid.

Het NCSC heeft deze kwetsbaarheid een High/High score gegeven.

Pinewood is niet bekend met publieke aanvalscode voor deze kwetsbaarheid.

Kwetsbare versies

De kwetsbaarheid is opgelost in FortiOS versies vanaf 7.2.3, 7.0.9, 6.4.11, 6.2.12, 6.0.16. Deze zijn uitgebracht tussen 1-22 november 2022.

In FortiProxy is de kwetsbaarheid opgelost in de versies vanaf 7.2.2, 7.0.8 en (nog niet uitgebrachte) 2.0.12.

Onderstaande de kwetsbare versies

FortiOS 7.2.0 – 7.2.2

FortiOS 7.0.0 – 7.0.8

FortiOS 6.4.0 – 6.4.10

FortiOS 6.2.0 – 6.2.11

FortiOS 6.0.0 6.0.15

FortiOS 5.6.0 – 5.6.14

FortiOS 5.4.0 – 5.4.13

FortiOS 5.2.0 – 5.2.15

FortiOS 5.0.0 – 5.0.14

FortiOS-6K7K 7.0.0 – 7.0.7

FortiOS-6K7K 6.4.0 – 6.4.9

FortiOS-6K7K 6.2.0 – 6.2.11

FortiOS-6K7K 6.0.0 – 6.0.14

FortiProxy 7.2.0 – 7.2.1

FortiProxy 7.0.0 – 7.0.7

FortiProxy 2.0.0 – 2.0.11

FortiProxy 1.2.0 – 1.2.13

FortiProxy 1.1.0 – 1.1.6

FortiProxy 1.0.0 – 1.0.7

Oplossing en workarounds

Pinewood adviseert om FortiOS en FortiProxy bij te werken naar de meest recente, niet-kwetsbare versie. Als dit niet direct kan, dan is het advies om de SSL-VPN functie uit te schakelen tot de software is bijgewerkt naar een niet-kwetsbare versie.

Naast het verhelpen van de kwetsbaarheid is het advies om kwetsbare apparaten te onderzoeken op sporen van misbruik.

Detectie van mogelijk misbruik

Als eerste kan gezocht worden naar logging met de volgende gegevens:

Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]”

Houd bij het zoeken rekening met verschillende VDOM’s en het tijdfilter.

Daarnaast kan gecontroleerd worden of er recent bestanden zijn aangemaakt met de volgende namen:

/data/lib/libips.bak

/data/lib/libgif.so

/data/lib/libiptcp.so

/data/lib/libipudp.so

/data/lib/libjepg.so

/var/.sslvpnconfigbk

/data/etc/wxd.conf

/flash

Dit kan gecontroleerd worden met de volgende commando’s:

“`

diagnose sys last-modified-files /data/lib

diagnose sys last-modified-files /var/

diagnose sys last-modified-files /data/etc/

diagnose sys last-modified-files /flash

“`

Tenslotte kan gezocht worden naar uitgaande verbindingen vanaf de Fortigate naar de volgende IP:poort combinaties:

188.34.130.40:444

103.131.189.143:30080,30081,30443,20443

192.36.119.61:8443,444

172.247.168.153:8033

139.180.184.197

66.42.91.32

158.247.221.101

107.148.27.117

139.180.128.142

155.138.224.122

185.174.136.20

Bovenstaande indicatoren zijn overgenomen uit de PSIRT Advisory van Fortinet. Pinewood wil erop wijzen dat deze indicatoren indicatief zijn voor aanvallen die op dit moment uitgevoerd zijn of nog worden. Het is onbekend of de genoemde indicatoren altijd zichtbaar zijn bij een (succesvolle) aanval, of dat deze afhankelijk zijn van de specifieke manier waarop de aanvallen op dit moment uitgevoerd worden.

Meer informatie

https://advisories.ncsc.nl/advisory?id=NCSC-2022-0763

https://www.fortiguard.com/psirt/FG-IR-22-398

https://olympecyberdefense.fr/vpn-ssl-fortigate/ (FR)

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Critical-vulnerability-Protect-against-heap-based/ta-p/239420

Pinewood Managed Security Services

Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden en neemt hierover contact op.

Als u een Pinewood Security Operations Center (SOC) contact heeft, dan zorgt Pinewood voor detectie op de indicatoren die op dit moment bekend zijn.

Vragen

Voor vragen kunt u contact opnemen met de Pinewood Servicedesk (015 261 36 33) of via e-mail soc@pinewood.nl.

=====ENGLISH VERSION=====

Description

A critical vulnerability has been fixed in FortiOS SSL-VPN and FortiProxy. The vulnerability allows an unauthenticated attacker to take over the system. Specifically, the vulnerability involves an ‘unauthenticated heap-based buffer overflow in sslvpnd’. Fortinet reports that this vulnerability is actively being exploited.

The Dutch NCSC has given this vulnerability a High/High score.

Pinewood is unaware of public attack code for this vulnerability.

Vulnerable versions

The vulnerability is fixed in the following FortiOS versions 7.2.3, 7.0.9, 6.4.11, 6.2.12, 6.0.16 (or higher). These were released between 1-22 november.

In FortiProxy the vulnerability is fixed in versions 7.2.2, 7.0.8 and (not yet released) 2.0.12 (or higher).

The versions indicated below are vulnerable.

FortiOS 7.2.0 – 7.2.2

FortiOS 7.0.0 – 7.0.8

FortiOS 6.4.0 – 6.4.10

FortiOS 6.2.0 – 6.2.11

FortiOS 6.0.0 6.0.15

FortiOS 5.6.0 – 5.6.14

FortiOS 5.4.0 – 5.4.13

FortiOS 5.2.0 – 5.2.15

FortiOS 5.0.0 – 5.0.14

FortiOS-6K7K 7.0.0 – 7.0.7

FortiOS-6K7K 6.4.0 – 6.4.9

FortiOS-6K7K 6.2.0 – 6.2.11

FortiOS-6K7K 6.0.0 – 6.0.14

FortiProxy 7.2.0 – 7.2.1

FortiProxy 7.0.0 – 7.0.7

FortiProxy 2.0.0 – 2.0.11

FortiProxy 1.2.0 – 1.2.13

FortiProxy 1.1.0 – 1.1.6

FortiProxy 1.0.0 – 1.0.7

Solutions and workarounds

Pinewood recommends updating FortiOS and FortiProxy to the latest, non-vulnerable version. If this cannot be done immediately, the advice is to disable the SSL-VPN feature until the software is updated to a non-vulnerable version.

Besides fixing the vulnerability, the advice is to examine vulnerable devices for signs of misuse.

Detection of possible misuse

First, search the logs of the Fortigate for the following data:

Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]”

When searching, keep in mind different VDOMs and the time filter.

In addition, check whether files with the following names have been created recently:

/data/lib/libips.bak

/data/lib/libgif.so

/data/lib/libiptcp.so

/data/lib/libipudp.so

/data/lib/libjepg.so

/var/.sslvpnconfigbk

/data/etc/wxd.conf

/flash

This can be checked with the following commands:

“`

diagnose sys last-modified-files /data/lib

diagnose sys last-modified-files /var/

diagnose sys last-modified-files /data/etc/

diagnose sys last-modified-files /flash

“`

Finally, look for outgoing connections from the Fortigate to the following IP:port combinations:

188.34.130.40:444

103.131.189.143:30080,30081,30443,20443

192.36.119.61:8443,444

172.247.168.153:8033

139.180.184.197

66.42.91.32

158.247.221.101

107.148.27.117

139.180.128.142

155.138.224.122

185.174.136.20

The indicators above are taken from Fortinet’s PSIRT Advisory. Pinewood would like to point out that these indicators are indicative of attacks that have been or are currently being carried out. It is unknown whether the above indicators are always visible in a (successful) attack, or whether they depend on the specific way attacks are currently being carried out.

Extra info

https://advisories.ncsc.nl/advisory?id=NCSC-2022-0763

https://www.fortiguard.com/psirt/FG-IR-22-398

https://olympecyberdefense.fr/vpn-ssl-fortigate/ (FR)

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Critical-vulnerability-Protect-against-heap-based/ta-p/239420

Pinewood Managed Security Services

If you have a Pinewood Managed Security Services contract, no action is required. Pinewood will take the necessary measures to protect your environment from these vulnerabilities and contact you about them.

If you have a Pinewood Security Operations Centre (SOC) contact, Pinewood will provide detection on the indicators that are currently known.

Questions

For questions related to this vulnerability, please contact the Pinewood Servicedesk (015- 251 3633) or via e-mail soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Microsoft Exchange 0-Day Kwetsbaarheden

UPDATE: Pinewood Security Bulletin – Microsoft Exchange 0-Day Kwetsbaarheden

For English, see below

Update

Uit een recent onderzoek van CrowdStrike is gebleken dat de eerder aanbevolen mitigerende maatregelen omtrent twee 0-day kwetsbaarheden in Microsoft Exchange kunnen worden omzeild en dus niet langer bescherming bieden tegen het misbruik van CVE-2022-41080 en CVE-2022-41082. Tevens lijkt deze nieuwe aanvalsmethodiek momenteel actief te worden toegepast in recente Play ransomware incidenten.

Beschrijving

Er zijn twee actief misbruikte 0-Day kwetsbaarheden voor verschillende versies van Microsoft Exchange Server bekend. Een 0-Day kwetsbaarheid is een kwetsbaarheid die onbekend is voor de ontwikkelaar van de betreffende software en waar geen beveiligingsupdate voor beschikbaar is.

De eerste kwetsbaarheid die gekenmerkt wordt als CVE-2022-41040 is een Server-Side Request Forgery (SSRF) kwetsbaarheid die een aanvaller in staat stelt om een onbedoelde functionaliteit van een kwetsbare webapplicatie aan te roepen.

De tweede kwetsbaarheid die gekenmerkt wordt als CVE-2022-41082 stelt een aanvaller in staat om Remote Code Execution (RCE) uit te voeren wanneer deze toegang heeft tot PowerShell.

Belangrijk om te weten is dat een potentiële aanvaller geauthentiseerd op de kwetsbare Exchange Server dient te zijn alvorens de kwetsbaarheden in kwestie kunnen worden misbruikt.

Kwetsbare versies

 Onderstaande producten van Microsoft zijn getroffen door de eerdergenoemde kwetsbaarheden:

  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

Gebruikers van Microsoft Exchange Online hoeven geen actie te ondernemen.

Oplossing en workarounds

Pinewood adviseert dringend om eventuele kwetsbare Microsoft Exchange Servers zo spoedig mogelijk te voorzien van de meest recente beveiligingsupdate.

Indien de Microsoft Exchange Server tot op heden kwetsbaar is en ter bescherming gebruik heeft gemaakt van de eerder aanbevolen mitigerende maatregelen is het raadzaam om het door CrowdStrike ontwikkelde PowerShell script Rps_Http-IOC.ps1 uit te voeren om eventuele indicators of compromise aan het licht te brengen.

Bronvermelding

Vragen

Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 261 36 33) of via e-mail soc@pinewood.nl.

=====ENGLISH VERSION========

Update

CrowdStrike recently discovered a new exploit method to abuse the two 0-Day vulnerabilities in Microsoft Exchange, bypassing the previously recommended URL rewrite mitigations for both CVE-2022-41080 and CVE-2022-4108. The discovery was part of recent CrowdStrike Services into several Play ransomware intrusions where the common entry vector was confirmed to be Microsoft Exchange.

Description

Two actively exploited 0-Day vulnerabilities in Microsoft Exchange have been reported. A 0-Day vulnerability is a vulnerability that was previously unknown to the developers of the software in question and has no security update available.

The first vulnerability, identified as CVE-2022-41040, is a Server-Side Request Forgery (SSRF) vulnerability which allows an attacker to invoke unintended functionality of a vulnerable web application.

The second vulnerability identified as CVE-2022-41082 allows an attacker to perform Remote Code Execution (RCE) when PowerShell is accessible.

Do note that authenticated access to the vulnerable Exchange Server is necessary to successfully exploit either of the two vulnerabilities.

Vulnerable versions

The following products of Microsoft are vulnerable for the vulnerabilities in question:

  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

Customers of Microsoft Exchange Online do not need to take any action.

Solutions and workarounds

Pinewood strongly recommends updating vulnerable Microsoft Exchange Servers with the latest security update as soon as possible.

If the Microsoft Exchange Server is currently vulnerable and has used the previously recommended mitigation measures to protect it, it is recommended that you run the PowerShell script Rps_Http-IOC.ps1 developed by CrowdStrike to reveal any possible indicators of compromise.

Extra info

Questions

For questions related to these vulnerabilitie(s), please contact the Pinewood Servicedesk (015 261 36 33) or via e-mail soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – FortiOS critical vulnerability in SSL-VPN

Pinewood Security Bulletin – FortiOS critical vulnerability in SSL-VPN

 For English, see below

Beschrijving

Er is een kritieke kwetsbaarheid opgelost in FortiOS SSL-VPN. De kwetsbaarheid staat een ongeauthenticeerde aanvaller toe om het systeem over te nemen. Specifiek is er sprake van een ‘unauthenticated heap-based buffer overflow in sslvpnd’. Fortinet meldt dat er actief misbruik gemaakt wordt van deze kwetsbaarheid.

Het NCSC heeft deze kwetsbaarheid een High/High score gegeven. Pinewood is niet bekend met publieke aanvalscode voor deze kwetsbaarheid.

Kwetsbare versies

De kwetsbaarheid is opgelost de meest recente versie van de 7.2, 7.0, 6.4 en 6.2 series. Deze zijn uitgebracht tussen 1-22 november 2022.

FortiOS 7.2.0 – 7.2.2
FortiOS 7.0.0 – 7.0.8
FortiOS 6.4.0 – 6.4.10
FortiOS 6.2.0 – 6.2.11
FortiOS-6K7K 7.0.0 – 7.0.7
FortiOS-6K7K 6.4.0 – 6.4.9
FortiOS-6K7K 6.2.0 – 6.2.11
FortiOS-6K7K 6.0.0 – 6.0.14

Oplossing en workarounds

Pinewood adviseert om FortiOS bij te werken naar de meest recente, niet-kwetsbare versie. Als dit niet direct kan, dan is het advies om de SSL-VPN functie uit te schakelen tot de software is bijgewerkt naar een niet-kwetsbare versie.

Naast het verhelpen van de kwetsbaarheid is het advies om kwetsbare apparaten te onderzoeken op sporen van misbruik.

Detectie van mogelijk misbruik

Als eerste kan gezocht worden naar logging met de volgende gegevens:

Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]”

Houdt bij het zoeken rekening met verschillende VDOM’s en het tijdfilter. Daarnaast kan gecontroleerd worden of er recent bestanden zijn aangemaakt met de volgende namen:

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

Dit kan gecontroleerd worden met de volgende commando’s:

diagnose sys last-modified-files /data/lib
diagnose sys last-modified-files /var/
diagnose sys last-modified-files /data/etc/
diagnose sys last-modified-files /flash

Tenslotte kan gezocht worden naar uitgaande verbindingen vanaf de Fortigate naar de volgende IP:poort combinaties:

188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033

Bovenstaande indicatoren zijn overgenomen uit de PSIRT Advisory van Fortinet. Pinewood wil erop wijzen dat deze indicatoren indicatief zijn voor aanvallen die op dit moment uitgevoerd zijn of nog worden. Het is onbekend of de genoemde indicatoren altijd zichtbaar zijn bij een (succesvolle) aanval, of dat deze afhankelijk zijn van de specifieke manier waarop de aanvallen op dit moment uitgevoerd worden.

Meer informatie

https://advisories.ncsc.nl/advisory?id=NCSC-2022-0763
https://www.fortiguard.com/psirt/FG-IR-22-398
https://olympecyberdefense.fr/vpn-ssl-fortigate/ (FR)

Pinewood Managed Security Services

Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden en neemt hierover contact op.

Als u een Pinewood Security Operations Center (SOC) contact heeft, dan zorgt Pinewood voor detectie op de indicatoren die op dit moment bekend zijn.

Vragen

Voor vragen kunt u contact opnemen met de Pinewood Servicedesk (015 261 36 33) of via e-mail soc@pinewood.nl.

=====ENGLISH VERSION=====

Description

A critical vulnerability has been fixed in FortiOS SSL-VPN. The vulnerability allows an unauthenticated attacker to take over the system. Specifically, the vulnerability involves an ‘unauthenticated heap-based buffer overflow in sslvpnd’. Fortinet reports that this vulnerability is actively being exploited.

The Dutch NCSC has given this vulnerability a High/High score.

Pinewood is not aware of any public attack code for this vulnerability.

Vulnerable versions

The vulnerability has been fixed in the latest releases of the 7.2, 7.0, 6.4 and 6.2 series. These were released between 1-22 November 2022.

FortiOS 7.2.0 – 7.2.2
FortiOS 7.0.0 – 7.0.8
FortiOS 6.4.0 – 6.4.10
FortiOS 6.2.0 – 6.2.11
FortiOS-6K7K 7.0.0 – 7.0.7
FortiOS-6K7K 6.4.0 – 6.4.9
FortiOS-6K7K 6.2.0 – 6.2.11
FortiOS-6K7K 6.0.0 – 6.0.14

Solutions and workarounds

Pinewood recommends updating FortiOS to the latest, non-vulnerable version. If this cannot be done immediately, the advice is to disable the SSL-VPN feature until the software is updated to a non-vulnerable version.

Besides fixing the vulnerability, the advice is to examine vulnerable devices for signs of misuse.

Detection of possible misuse

First, search the logs of the Fortigate for the following data:

Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]”

When searching, keep in mind different VDOMs and the time filter.

In addition, check whether files with the following names have been created recently:

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

This can be checked with the following commands:

diagnose sys last-modified-files /data/lib
diagnose sys last-modified-files /var/
diagnose sys last-modified-files /data/etc/
diagnose sys last-modified-files /flash

Finally, look for outgoing connections from the Fortigate to the following IP:port combinations:

188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033

The indicators above are taken from Fortinet’s PSIRT Advisory. Pinewood would like to point out that these indicators are indicative of attacks that have been or are currently being carried out. It is unknown whether the above indicators are always visible in a (successful) attack, or whether they depend on the specific way attacks are currently being carried out.

Extra info

https://advisories.ncsc.nl/advisory?id=NCSC-2022-0763
https://www.fortiguard.com/psirt/FG-IR-22-398
https://olympecyberdefense.fr/vpn-ssl-fortigate/ (FR)

Pinewood Managed Security Services

If you have a Pinewood Managed Security Services contract, no action is required. Pinewood will take the necessary measures to protect your environment from these vulnerabilities and contact you about them.

If you have a Pinewood Security Operations Centre (SOC) contact, Pinewood will provide detection on the indicators that are currently known.

Questions

For questions related to this vulnerability, please contact the Pinewood Servicedesk (015 261 36 33) or via e-mail soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

NIS 2: wat betekent deze Europese security-richtlijn voor Nederlandse organisaties

Door: Eric van Loon, Manager Security Consultancy bij Pinewood

De tweede generatie van de Europese Network and Information Systems (NIS 2) richtlijn zal in 2023 in Nederland om worden gezet in wetgeving. De richtlijn bouwt voort op de oorspronkelijke NIS-richtlijn uit 2016. Het doel was toen om eenheid te brengen in het Europees beleid voor netwerk- en informatiebeveiliging om zo de gevolgen van cyberincidenten te verkleinen, met name gericht op bedrijven en instellingen van cruciale aard. De NIS 2 richtlijn bouwt hierop verder en voegt meer sectoren toe aan deze ‘essentiële diensten’. Het moet ervoor zorgen dat organisaties binnen Europa aan de richtlijn gaan voldoen. Maar wat betekent dit voor Nederlandse organisaties?

nis 2 nib 2 nederland richtlijnen security

Volwassen cybersecurity

Allereerst is het goed om het verschil tussen de NIS 2 en de NIB 2 te begrijpen. Gelukkig is dit geen ingewikkeld verhaal, de NIB 2 is namelijk gewoon de Nederlandse vertaling van de NIS 2. Dus of het nu gaat over de network and information systems richtlijn of de netwerk- en informatiebeveiliging richtlijn, de inhoud is grotendeels hetzelfde. Wel is er tijdens het vertalen van de Europese richtlijn naar Nederlandse wetgeving ruimte voor vrije interpretatie. De overheid is momenteel druk bezig met die vertaalslag, dus hoe de wet er precies uit gaat zien is nog even afwachten.

Wel kunnen we er alvast vanuit gaan dat de kern van de richtlijn grotendeels hetzelfde blijft. Deze kern bestaat uit twee elementen: de zorgplicht en de meldplicht. De zorgplicht verplicht organisaties om ervoor te zorgen dat de hele infrastructuur op orde is. Zo wordt het verplicht om de faciliteiten te hebben om te monitoren wat er gebeurt op het netwerk. De meldplicht zorgt ervoor dat organisaties melding moeten maken wanneer ze te maken krijgen met een cyberincident. Voor alle organisaties die gezien worden als leverancier van ‘essentiële diensten’ zal er dus (veel) werk aan de winkel zijn.

Het ziet er dus naar uit dat organisaties in allerlei sectoren maatregelen moeten gaan treffen om de cybersecurity-volwassenheid naar een hoger niveau te brengen. De exacte hoogte van dit volwassenheidsniveau zal nog worden bepaald door de Nederlandse overheid. Dit kan bijvoorbeeld gelijk worden getrokken met de norm waaraan overheidsinstellingen momenteel moeten voldoen, maar er kunnen ook andere regels gaan gelden. De details moeten uiteindelijk blijken uit de resulterende wetgeving, net zoals de wet beveiliging netwerk en informatiesystemen een interpretatie is van originele NIS-richtlijn.

Vitale sectoren

De noodzaak om de cyberweerbaarheid van essentiële diensten te vergroten is voor de hand liggend. Over de afgelopen jaren zien we een stijgende lijn in het aantal organisaties dat te maken heeft met cyberaanvallen. Daarnaast zien we ook een flinke stijging in de schade en impact van een succesvolle aanval. De NIS 2 richtlijn is daarom in het leven geroepen om de continuïteit en integriteit van een aantal vitale sectoren te waarborgen.

Onder de originele NIS vielen sectoren zoals energie, drinkwater en banken. De NIS 2 breidt het lijstje met vitale sectoren aardig uit met onder andere overheidsdiensten, levensmiddelen en managed service providers. In Nederland zal dit neerkomen op zo’n zesduizend extra organisaties die moeten gaan voldoen aan de nieuwe wetgeving. Op dit moment wordt er nog flink gediscussieerd over welke bedrijven hier onder vallen en welke niet. Zo staat er nog niet vast welke definitie van een managed service provider er gehanteerd zal gaan worden.

De verwachting is dat de NIS eind dit jaar wordt vastgesteld op Europees niveau. Zodra dit rond is hebben de lidstaten 21 maanden de tijd om de wetgeving rond te krijgen. Dat klinkt misschien lang, maar voor een wet van dit formaat is dat een redelijk korte termijn.

Meer veiligheid, minder vrijheid

De NIS 2 is een grote stap in de goede richting als het om cybersecurity gaat. Wel valt er een bepaalde mate van vrijheid weg. Momenteel is het cybersecurity-landschap onder bedrijven erg gefragmenteerd. Bedrijven kiezen zelf in welke mate ze iets aan cybersecurity doen of niet. Door een richtlijn te implementeren neem je deze vrijheid weg, maar je weet wel zeker dat delen van de infrastructuur goed beveiligd zijn.

De meldplicht zal de cyberweerbaarheid verhogen. In de huidige situatie hoeft een organisatie alleen melding te doen van een datalek, maar niet van bijvoorbeeld een ransomware-aanval of misbruik van een kwetsbaarheid. Dit gaat dus veranderen.

Doordat informatie over een cyberaanval gemeld en gedeeld wordt, kunnen bedrijven makkelijker leren van elkaar hoe ze hun beveiliging optimaal in kunnen richten.

Maar ook de zorgplicht zal het een en ander gaan vragen van organisaties. Afhankelijk van de huidige infrastructuur moet er wellicht veel gebeuren om te voldoen aan de norm die uiteindelijk in de wet wordt opgenomen. Er kan bijvoorbeeld geëist worden dat bedrijven moeten voldoen aan de ISO 27001 norm. Dit zal voor veel bedrijven betekenen dat ze flink moeten gaan investeren. Er wordt gesproken over een omzetplafond dat kleinere bedrijven hiervan vrijstelt, maar deze organisaties lopen dan nog net zoveel risico als voorheen.

Aan de slag

Organisaties waarop de NIS 2 van toepassing is, krijgen dus aardig wat voor hun kiezen. De verschillende plichten vragen veel investeringen. Zo is een belangrijk onderdeel van de zorgplicht het monitoren van de systemen. Dit gebeurt doorgaans in een Security Operation Center (SOC) maar om dit in te richten is veel apparatuur en, nog lastiger, personeel nodig. Voor veel organisaties zal het dan ook interessant zijn om dit uit te besteden aan een partij die een SOC als dienst aanbiedt. Op deze manier kan een organisatie voldoen aan de nieuwe zorgplicht, zonder een heel SOC op te hoeven zetten. Daarnaast bieden deze cybersecurity-partijen vaak aanvullende diensten om de cyberweerbaarheid te vergroten.

Maar ook wanneer een organisatie niet binnen de scope van de NIS 2 valt, is het verstandig om op te letten. Het feit dat je niet aangemerkt wordt als vitale sector betekent niet dat je minder risico loopt. Ook deze organisaties kunnen veel leren van de plichten en eisen die in de nieuwe wet zullen worden opgenomen. De NIS kan dan werken als vliegwiel en andere organisatie meekrijgen, waardoor heel Nederland er sterker voor komt te staan op het gebied van cybersecurity.

De NIS 2 is onvermijdelijk en het is daarom belangrijk om te kijken of je als organisatie binnen de scope valt. Als dat zo is, dan is het verstandig om zo snel mogelijk aan de slag te gaan want het kan veel tijd kosten om uit te zoeken wat de nieuwe wet voor jou gaat betekenen. Een eerste stap die je als bedrijf nu al kan zetten is het in kaart brengen van je cyberbeveiliging-volwassenheidsniveau en de mate van risicobeheersing. Heb je al een informatiebeveiligingsbeleid? Weten medewerkers wat hun rol is? Weten ze hoe ze phishing e-mails kunnen herkennen? Door er nu serieus mee aan de slag te gaan, voorkom je verrassingen wanneer de wet in werking treedt.

Wilt u meer weten of hulp bij de inrichting van NIS 2 (NIB 2) vraagstukken. Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Pinewood Security Bulletin – Kritieke kwetsbaarheid in Citrix ADC en Citrix Gateway

Citrix heeft updates uitgebracht voor Citrix ADC en Citrix Gateway waarmee drie kwetsbaarheden worden verholpen, waarvan één kritiek. De kritieke kwetsbaarheid (CVE-2022-27510) stelt een kwaadwillende op afstand in staat om de authenticatie op het systeem te omzeilen en hiermee toegang te verkrijgen tot gebruikersmogelijkheden. Nadere details m.b.t. de kwetsbaarheid zijn niet bekend. Aanvallers kunnen de kwetsbaarheid alleen misbruiken indien de appliance is geconfigureerd als een VPN (SSL-VPN of ICA proxy met authenticatie ingeschakeld). Dit laatste is een vrij gangbare configuratie voor dit type devices.

Kwetsbare versies
De kwetsbaarheid bevindt zich in onderstaande versies van Citrix ADC en Citrix Gateway:

Citrix ADC en Citrix Gateway 13.1, ouder dan versie 13.1-33.47
Citrix ADC en Citrix Gateway 13.0, ouder dan versie 13.0-88.12
Citrix ADC en Citrix Gateway 12.1, ouder dan versie 12.1.65.21
Citrix ADC 12.1-FIPS, ouder dan versie 12.1-55.289
Citrix ADC 12.1-NDcPP, ouder dan versie 12.1-55.289

Versies eerder dan 12.1 zijn reeds End-of-Life (EoL) maar bevatten dezelfde kwetsbaarheid ook. Indien een dergelijke versie van ADC en/of Gateway in gebruik is, is een upgrade naar een ondersteunde versie (12.1 of nieuwer) noodzakelijk.

Alleen gebruikers met een self-managed installatie van deze producten dienen actie te ondernemen. In het geval gebruikgemaakt wordt van een Citrix-managed cloud service, is er geen actie vereist.

Oplossing en workarounds
Organisaties die een kwetsbare Citrix-appliance met VPN-functionaliteit gebruiken, wordt dringend aangeraden zo spoedig mogelijk de door Citrix uitgebrachte updates te installeren. Het betreft onderstaande updates:

Citrix ADC en Citrix Gateway 13.1: update 13.1-33.47
Citrix ADC en Citrix Gateway 13.0: update 13.0-88.12
Citrix ADC en Citrix Gateway 12.1: update 12.1-65.21
Citrix ADC 12.1-FIPS 12.1: update 12.1-55.289
Citrix ADC 12.1-NDcPP 12.1: update 12.1-55.28

Meer informatie

Citrix security bulletin: https://support.citrix.com/article/CTX463706/citrix-gateway-and-citrix-adc-security-bulletin-for-cve202227510-cve202227513-and-cve202227516

Vragen

Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 261 36 33) of via e-mail soc@pinewood.nl.

=====ENGLISH VERSION========

Description

Citrix released updates for Citrix ADC and Citrix Gateway to resolve three vulnerabilities, one of which is rated critical. The critical vulnerability (CVE-2022-27510) allows a remote attacker to bypass authentication and access user capabilities without authentication. Further details on the vulnerability are not yet available. The vulnerability can only be exploited if the appliance is configured for VPN services (SSL-VPN or ICA proxy with authentication). This is a quite common configuration for this type of devices.

Vulnerable versions
The vulnerability exists in the following versions of Citrix ADC and Citrix Gateway:

Citrix ADC and Citrix Gateway 13.1, before version 13.1-33.47
Citrix ADC and Citrix Gateway 13.0, before version 13.0-88.12
Citrix ADC and Citrix Gateway 12.1, before version 12.1.65.21
Citrix ADC 12.1-FIPS, before version 12.1-55.289
Citrix ADC 12.1-NDcPP, before version 12.1-55.289

Versions before 12.1 were already end-of-life (EoL) but are vulnerable as well. If such a version of Citrix ADC and/or Citrix Gateway is in use, an upgrade to a supported version (12.1 or later) is required.

Only organizations with a self-managed installation of these products need to take action. Users of Citrix-managed cloud services do not need to take action.

Solutions and workarounds
Organizations using a vulnerable Citrix appliance with VPN functionalities are advised to install the released updates as soon as possible. Below is an overview of the updates that were released by Citrix:

Citrix ADC and Citrix Gateway 13.1: update 13.1-33.47
Citrix ADC and Citrix Gateway 13.0: update 13.0-88.12
Citrix ADC and Citrix Gateway 12.1: update 12.1-65.21
Citrix ADC 12.1-FIPS 12.1: update 12.1-55.289
Citrix ADC 12.1-NDcPP 12.1: update 12.1-55.289

Additional info

Citrix security bulletin: https://support.citrix.com/article/CTX463706/citrix-gateway-and-citrix-adc-security-bulletin-for-cve202227510-cve202227513-and-cve202227516

Questions

For questions related to these vulnerabilitie(s), please contact the Pinewood Servicedesk (015 261 36 33) or via e-mail soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Kwetsbaarheid in OpenSSL 3.x

Beschrijving
Het OpenSSL Project team heeft op dinsdag 25 oktober 2022 een vooraankondiging gedaan over een kritieke kwetsbaarheid in OpenSSL 3.x zonder daarbij verdere details te vermelden. Binnen het OpenSSL project wordt een eigen risicoclassificering gebruikt. Een kritieke kwetsbaarheid betreft een veelvoorkomende configuratie die waarschijnlijk te misbruiken is. Voorbeelden zijn het uitlezen van het werkgeheugen van de server, het achterhalen van de geheime certificaat-sleutels, en het uitvoeren van van code op de server (remote code execution, RCE).

Op dinsdag 1 november 2022 omstreeks 16:30 is bekendgemaakt dat deze kwetsbaarheid een buffer overrun betreft in het valideren van e-mailadressen in certificaten. Deze validatie vindt echter pas plaats nadat de digitale handtekening van het bovenliggende certificaat is gecontroleerd en vereist dus dat de aanvaller gebruikmaakt van een digitaal certificaat dat is ondertekend/uitgegeven door een vertrouwde/ondersteunde Certificate Authority (CA). Een aanvaller kan een malafide e-mailadres opnemen in een certificaat om in totaal vier bytes te overlopen op de stack. Deze buffer overflow kan resulteren in een Denial of Service (DOS) en zou in theorie kunnen leiden tot Remote Code Execution (RCE). De exacte impact is sterk afhankelijk van het platform waarop de kwetsbaarheid wordt misbruikt; zo hebben diverse onderzoekers aangegeven dat op veel platformen deze buffer overrun niet kan worden uitgebuit vanwege platform-afhankelijke beperkingen/maatregelen.

Mede door de eerdergenoemde onderzoeksuitkomsten, is de bekendmaking van de kwetsbaarheid gepaard gegaan met het verlagen van de initiële risicoclassificatie ‘Kritiek’ naar uiteindelijk ‘Hoog’.

Kwetsbare versies
De kwetsbaarheden bevinden zich in versie 3 van OpenSSL, specifiek versie 3.0.0 t/m 3.0.6. Oudere versies van OpenSSL (versie 1) bevatten deze kwetsbaarheden dus niet. Houd er wel rekening mee dat bij OpenSSL versie 1 alleen OpenSSL 1.1.1 nog wordt ondersteund en dat dit niet geldt voor oudere versies (1.0.X).

Het is zeer goed mogelijk dat OpenSSL binnen de organisatie in gebruik is als onderdeel van bijvoorbeeld een besturingssysteem, netwerkcomponent, appliance of applicatie. Aangezien OpenSSL versie 3 relatief kortgeleden is uitgebracht (September 2021), zijn de meeste toepassingen nog gebaseerd op versie 1 van OpenSSL. Om vast te kunnen stellen of toepassingen binnen de infrastructuur gebruikmaken van een kwetsbare versie van OpenSSL, raden wij aan het uitgebreide – en steeds groeiende overzicht – te monitoren dat het Nederlandse Nationaal Cyber Security Centrum (NCSC) bijhoudt op https://github.com/NCSC-NL/OpenSSL-2022/tree/main/software. 

Oplossing en workarounds
OpenSSL heeft versie 3.0.7 uitgebracht om de kwetsbaarheid te verhelpen. Deze broncode-patch moet verwerkt worden in de verschillende producten die gebruikmaken van deze bibliotheek. Maak daarom gebruik van de patch/update die uitgebracht is door de leverancier van het product (indien deze reeds beschikbaar is).

De kwetsbaarheden kunnen op servers alleen worden misbruikt indien deze gebruikmaken van authenticatie op basis van digitale (X.509) client-certificaten. Als workaround noemt OpenSSL de mogelijkheid om deze authenticatie (tijdelijk) uit te schakelen; deze afweging zal situatie-afhankelijk genomen moeten worden aangezien het uitschakelen hiervan mogelijk nog grotere risico’s introduceert.

Meer informatie
OpenSSL advisory: https://mta.openssl.org/pipermail/openssl-announce/2022-November/000241.html

OpenSSL blog: https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

Vragen
Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 750 36 33) of via e-mail soc@pinewood.nl.

=====ENGLISH VERSION========

Description
On Tuesday the 25th of October 2022, the OpenSSL Project team made an announcement about a critical vulnerability in OpenSSL 3.x without providing any details. A critical vulnerability affects common configurations and is also likely to be exploitable. Examples include significant disclosure of the contents of server memory (potentially revealing user details), vulnerabilities which can be easily exploited remotely to compromise server private keys or where remote code execution is considered likely in common situations.

On Tuesday the 1st of November at around 16:30 CEST, the OpenSSL Project team provided details on the previously announced vulnerability. A buffer overrun can be triggered in X.509 certificate verification, specifically in name constraint checking. Note that this occurs after certificate chain signature verification and requires either a Certificate Authority (CA) to have signed the malicious certificate or for the application to continue certificate verification despite failure to construct a path to a trusted issuer. An attacker can craft a malicious email address to overflow four attacker-controlled bytes on the stack. This buffer overflow could result in a crash causing a Denial of Service (DoS) or potentially Remote Code Execution (RCE). However, the exact impact is highly dependent on the platform on which the vulnerability is being exploited. Several researchers have indicated that on many platforms this buffer overrun cannot be exploited due to platform-dependent restrictions.

Partly due to the aforementioned research results, the disclosure of the vulnerability was accompanied by a lowering of the initial risk classification from ‘Critical’ to ‘High’. 

Vulnerable versions
The vulnerabilities exist in OpenSSL version 3, specifically version 3.0.0 – 3.0.6. Older versions of OpenSSL (version 1) are not vulnerable. Keep in mind that with OpenSSL version 1 only OpenSSL 1.1.1 is still actively supported and not older versions (1.0.X).

OpenSSL is possibliy in use within the organisation as part of e.g. an operating system, network component, appliance or application. Because OpenSSL version 3 was released quite recently (September 2021), most systems will still be using OpenSSL version 1. To determine if vulnerable versions of OpenSSL are in use within the infrastructure, we advise you to closely monitor the extensive – and continuously expanding – overview administered by the Dutch National Cyber Security Center at https://github.com/NCSC-NL/OpenSSL-2022/tree/main/software.

 Solutions and workarounds
OpenSSL released version 3.0.7 to fix the vulnerability. This is a source code patch that needs to be compiled into the different products that make use of this library. We therefore advise you to install the patch/update released by the vendor of the product (if available).

The vulnerabilities can only be exploited on servers if these are configured for client authentication based on (X.509) digital client certificates. As a workaround, OpenSSL proposes to (temporarily) disable this type of authentication; as doing this might introduce even greater risks, this workaround should only be implemented if this is appropriate for the specific environment.

Extra info
OpenSSL advisory: https://mta.openssl.org/pipermail/openssl-announce/2022-November/000241.html

OpenSSL blog: https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

Questions
For questions related to these vulnerabilitie(s), please contact the Pinewood Servicedesk (015 750 36 33) or via e-mail soc@pinewood.nl.

Pinewood Security Bulletin – Kwetsbaarheid in Apache Commons Text

inewood Security Bulletin – Kwetsbaarheid in Apache Commons Text

 For English, see below

Beschrijving

Er is een kwetsbaarheid (CVE-2022-42889) ontdekt in Apache Commons Tekst. De kwetsbaarheid stelt een ongeauthenticeerde kwaadwillende op afstand mogelijk in staat om willekeurig code uit te voeren.

De kwetsbaarheid bevindt zich in de functionaliteit verantwoordelijk voor string interpolatie. Drie typen filters kunnen hier mogelijk misbruikt worden, namelijk “script”, “dns” en “url”. Een Proof-Of-Concept code is gepubliceerd die aantoont hoe de kwetsbare functionaliteit kan worden misbruikt.

Hoewel de kwetsbaarheid overeenkomsten vertoont met een soortgelijke kwetsbaarheid in Apache Log4j (Log4Shell), is het aanvalsoppervlak beperkter vanwege de specifieke toepassing van Commons Text ten opzichte van Log4j.

 Kwetsbare versies

 De kwetsbaarheid is aanwezig in de versies 1.5 t/m 1.9.

Tevens geven beveiligingsonderzoekers aan dat de kwetsbaarheid niet te misbruiken is wanneer de applicatie gebruikt maakt van (Open)JDK versie 15 of nieuwer. Echter, het NCSC heeft dit nog niet zelf kunnen bevestigen.

Oplossing en workarounds

 De Apache Foundation heeft updates uitgebracht om de kwetsbaarheid te verhelpen in Commons Tekst 1.10.0.

Meer informatie

https://www.darkreading.com/application-security/researchers-keep-a-wary-eye-on-critical-new-vulnerability-in-apache-commons-text

https://www.rapid7.com/blog/post/2022/10/17/cve-2022-42889-keep-calm-and-stop-saying-4shell/

Vragen

Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 750 36 33) of via e-mail soc@pinewood.nl.

=====ENGLISH VERSION========

Description

A vulnerability (CVE-2022-42889) has been discovered in Apache Commons Text. The vulnerability potentially allows an unauthenticated malicious person to perform Remote Code Execution.

The vulnerability is in the functionality responsible for string interpolation. Three types of filters could potentially be abused here: “script”, “dns” and “url”. A Proof-Of-Concept code has been published that shows how the vulnerable functionality can be exploited.

Although the vulnerability has similarities to a similar vulnerability in Apache Log4j (Log4Shell), the attack surface is more limited due to the specific application of Commons Text compared to Log4j.

 Vulnerable versions

 The vulnerability is present in versions 1.5 to 1.9.

Also, security researchers indicate that the vulnerability cannot be exploited when the application uses (Open)JDK version 15 or newer. However, the NCSC has not yet been able to confirm this.

 Solutions and workarounds

The Apache Foundation has released updates to fix the vulnerability in Commons Text 1.10.0.

Extra info

https://www.darkreading.com/application-security/researchers-keep-a-wary-eye-on-critical-new-vulnerability-in-apache-commons-text

https://www.rapid7.com/blog/post/2022/10/17/cve-2022-42889-keep-calm-and-stop-saying-4shell/

Questions

For questions related to these vulnerabilitie(s), please contact the Pinewood Servicedesk (015 750 36 33) or via e-mail soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl