Datadiefstal Rode Kruis door vergeten update Zoho ManageEngine

De aanval op servers van het Internationale Comité van het Rode Kruis (ICRC) waarbij de persoonlijke en vertrouwelijke gegevens van meer dan 515.000 “zeer kwetsbare” personen werden gestolen was mogelijk omdat de organisatie vergeten was een belangrijke beveiligingsupdate voor een kritieke kwetsbaarheid in Zoho ManageEngine te installeren. Dat laat het Rode Kruis in een analyse van het incident weten.

Het beveiligingslek in Zoho ManageEngine ADSelfService Plus, aangeduid als CVE-2021-40539, maakt het mogelijk om op afstand de authenticatie te omzeilen en willekeurige code op de server uit te voeren. ManageEngine ADSelfService Plus is een self-service password management en single sign-on oplossing voor Active Directory en cloud-apps. Het stelt gebruikers onder andere in staat om zelf hun wachtwoord te resetten.

Begin september vorig jaar kwam Zoho met een beveiligingsupdate voor de kwetsbaarheid. Het lek werd op dat moment al aangevallen, waardoor er sprake was van een zogeheten zeroday. Het Rode Kruis had nagelaten de beschikbare beveiligingsupdate te installeren. Daardoor konden aanvallers op 9 november de servers compromitteren. Dit was twee maanden na het uitkomen van de beveiligingsupdate.

De aanvallers gebruikten de kwetsbaarheid voor het installeren van een webshell, om zo toegang tot de servers te behouden en verdere aanvallen uit te voeren. Zo wisten de aanvallers inloggegevens van beheerders te stelen, zich lateraal door het netwerk van het Rode Kruis te bewegen en registry hives en Active Directory-bestanden te stelen. Door het gebruik van niet nader genoemde tools wisten de aanvallers zich als legitieme gebruikers en beheerders voor te doen, waardoor ze toegang tot de persoonsgegevens kregen.

De aanval werd uiteindelijk op 18 januari door het Rode Kruis ontdekt, zo’n zeventig dagen nadat de aanvallers de systemen waren binnengedrongen. Naar aanleiding van het incident zijn verdere maatregelen genomen, zoals de implementatie van een nieuw tweefactor-authenticatieproces en het gebruik van een “advanced threat detection solution”. Verder mogen alle applicaties en systemen pas na een succesvolle, externe penetratietest weer online.

Bron: Security.nl

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

12Privacy.nl