Critical OpenSSL vulnerability

Critical OpenSSL Vulnerability

Update November 1st 2022 17:37

The severity of this Spooky SSL vulnerability is downgraded to High. This vulnerability allows an attacker to craft a malicious certificate causing a client, server, or application to crash (resulting in a DoS) or potentially remote code execution. There are no signs of active abuse so far. The solution is to upgrade to OpenSSL 3.0.7 or isolate the system/application.

Update November 1st 2022 14:45

SecurityHive’s Vulnerability Management is able to scan this as a vulnerability since yesterday evening. Make sure you start an authenticated scan.

What is OpenSSL?

OpenSSL is an open-source software library used for SSL and TLS connections (for example, an HTTPS or RDP connection). Almost every software uses OpenSSL for its SSL/TLS connections.

Not using SecurityHive yet? This article still has a lot of important and interesting information regarding to this vulnerability for you! Do you want to scan your systems immediately? Start a free trial.

What’s happening?

While OpenSSL is a widely used & battle-tested solution and undergoes a lot of penetration tests, sometimes a new vulnerability is discovered.

The OpenSSL project team announced the release of OpenSSL version 3.0.7, which will become available on Tuesday, the 1st of November 2022, between 13:00 – 17:00 UTC. This version is a security-fix release with a CRITICAL severity.

Why is it so important?

OpenSSL is used for encrypting your connections. A vulnerability in OpenSSL may have one or more of the following outcomes:

  1. Your connection can be decrypted, get intercepted, or modified, which results in an attacker being able to read the data (including passwords, cookies, sessions, and form data) flowing over this connection. This is both a security and privacy incident.
  2. An attacker is able to execute a DoS attack on your system, resulting in your system becoming unreachable or offline.
  3. Parts of your system and/or memory becomes accessible to an attacker.

At this moment, we’re not sure what will be the outcome of this vulnerability, as the details are not specified yet. OpenSSL only announced it so everyone can schedule some patch time in their calendars and get ready. We’ll update this article once more information is available.

Am I affected?

The vulnerability exists in all OpenSSL 3.0.x versions and is fixed in OpenSSL 3.0.7. Check if your system has an OpenSSL 3.0.x version installed.

It’s easy to check using a vulnerability scan (authenticated scan preferred).

Asset Management will show you the list of applications installed on systems and therefore show you which assets are vulnerable.

If you don’t use Vulnerability Management of SecurityHive already, you can easily start a trial or run openssl version or sudo lsof -n | grep libssl.so.3 (Linux command) on all of your systems manually.

We know these Operating Systems and Software use OpenSSL 3.0.x. If your OS or Software is not listed in this list, it doesn’t mean it’s not vulnerable. We only know for sure this list has OpenSSL 3.0.x installed by default.:

What should I do?

At this moment, there is no fix available. Schedule some time in your calendar to get ready to patch once the update becomes available. Once the details become available:

  1. Patch your systems immediately by installing the update.
  2. If no patch is available for your specific system or software, mitigate the vulnerability by isolating your system.

I’m not sure yet how to proceed or still have questions

Don’t worry, you can chat with us by clicking the orange rounded button (on our website and Portal) or just give us a call. We’re here to help.

Netwerk beveiligen tegen hackers

Je netwerk beveiligen tegen hackers. Hoe doe je dat nou precies?

Netwerken worden steeds groter en complexer. Steeds meer applicaties en systemen moeten met elkaar verbonden worden. Waar dat vroeger vooral medewerkers waren die toegang nodig hadden tot het internet, zien we dat nu meer apparaten (IoT) worden aangesloten. De netwerkbeveiliging wordt daarmee niet eenvoudiger.

Een netwerk beveiligen tegen hackers bestaat uit meerdere lagen. Zie het een beetje als een ui. Je moet door meerdere lagen pellen om tot de kern te komen. In dit artikel gaan we van de volgende punten uit:

  1. Voorkomen
  2. Detecteren
  3. Blokkeren
  4. Herstellen

Voorkomen

Voorkomen is beter dan genezen. Je kan preventieve maatregelen nemen door standaard verkeer te blokkeren en alléén netwerkverkeer toe te staan dat nodig is. Verder is het verstandig om een vulnerability scan uit te voeren met een network vulnerability scanner om kwetsbaarheden te vinden. Zo kun je kwetsbaarheden alvast oplossen, voordat een hacker hier misbruik van maakt.

Detecteren

Het detecteren van een hacker of verdacht verkeer is belangrijk. Wanneer je een hacker niet ziet, kun je ook geen actie ondernemen. Verschillende maatregelen stellen je in staat om te detecteren. Denk aan bijvoorbeeld Logging en Honeypots.

Blokkeren

Wanneer je een aanvaller hebt ontdekt via bijvoorbeeld een lijn in je logbestand, of door een detectie van een Honeypot, dan kun je deze gaan blokkeren. Dit doe je in o.a. een Firewall en Anti-virus oplossing.

Herstellen

Als het toch te laat is, zal je herstelwerkzaamheden moeten uitvoeren. Dit kan door apparaten te isoleren, backups terug te plaatsen of het herinstalleren van systemen. Dit proces verschilt erg per organisatie. Wanneer een incident heeft plaatsgevonden, kan dit snel voor paniek zorgen. Daarom is het goed om een Disaster Recovery Plan op te stellen, waarin de benodigde acties worden uitgewerkt.

SecurityHive informs Log4j-vulnerable customers using Threat Intelligence

Dutch Cyber Security vendor SecurityHive managed to inform Log4j-vulnerable customers around the world on the same day of exploit without extra scans. Due to our vision, SecurityHive developed several features to make this happen.

About Log4j

Apache Log4j is a Java-based logging utility originally written by Ceki Gülcü. It is part of Apache Logging Services, a project of the Apache Software Foundation. Log4j is one of several Java logging frameworks. Log4j is an integral part of the core of many software solutions available for both enterprises and small businesses. Almost every company uses a solution where Log4j is being used.

The vulnerability

New high critical vulnerabilities appear every day. To check an IT environment for those vulnerabilities, SecurityHive developed a Vulnerability Management solution. Organizations with Vulnerability Management in their daily processes intertwined can check for new vulnerabilities automatically.

But, with the Java Log4j vulnerability Affecting UniFi, Apple, Minecraft, and Many Others, it’s different. The list of vulnerable applications is growing and being updated in the following days by the National Cyber Security Center (NCSC). This means, that you’re not known as vulnerable today but, tomorrow you can. SecurityHive found a way to research all their customers around the world and figure out who is vulnerable and who is not, on the same day this vulnerability became known. Without extra scans.

Follow the latest updates regarding vulnerable applications here: https://github.com/NCSC-NL/log4shell/tree/main/software.

Vendor Statement

The software of SecurityHive which customers use is not vulnerable for Log4j since we are not using Log4j in our solutions. However, while SecurityHive uses solutions in their infrastructure which use Log4j on their part, SecurityHive was not found to be vulnerable. We are actively monitoring any changes on this subject and have taken preventive measures.

How did SecurityHive manage this?

SecurityHive didn’t wait for the databases to be updated. But, used a built-in feature instead. Here’s our way of working:

  1. Asset Management, a feature of SecurityHive’s Vulnerability Management solution, recognizes all applications. These applications are still known once a new vulnerability appears. There are no extra scans necessary to move on.
  2. The list of vulnerable applications is what SecurityHive continuously monitors.
  3. All customers using vulnerable applications are decomposed from others (in a messaging way).
  4. All customers received a message with the latest update regarding Log4j vulnerability, for their information.
  5. The vulnerable customers received an extra message with included advise how to respond.
  6. New known-vulnerable applications (and customers) receive a message once they are vulnerable too.

Future of Threat Intelligence

SecurityHive expects this way of working as a standard in the future. It’s important that customers can respond fast to new high risks.

This means knowledge of emerging threats is very important to take further actions. SecurityHive’s global distributed Honeypot network contains several sensors alerting SecurityHive’s SOC about new threats. These findings will be applied to improve the scan coverage of its Network Vulnerability Scanner.

Want to know more about SecurityHive or get in touch with one of our experts? Visit: www.securityhive.nl.

De eindsprint, daar is hij weer! 📈

In deze tijd van het jaar kun je (misschien nog wel meer dan anders) je niet veroorloven dat de productie stil komt te liggen. Het is namelijk in aanloop op de kerstperiode, erg druk en het hele team zet zich maximaal in om de doelstellingen te halen.

De eindsprint voor hackers

Ook is het druk met cyberincidenten vanwege dezelfde reden. Juist tijdens deze eindsprint zijn mensen minder alert en zijn Phishing e-mails nóg succesvoller dan normaal. Daarnaast zijn er minder (IT-)medewerkers aanwezig waardoor de kans toeneemt dat een indringer ongezien zijn gang kan gaan.

Schuif jij cybersecurity vraagstukken op naar volgend jaar of doe je het dit jaar anders?

Wat jij kunt doen

Vraag jouw IT-partner om advies of neem met ons contact op. Er zijn genoeg dingen die je kunt doen dat minder tijd in beslag neemt dan jij wellicht denkt.

Zorg in ieder geval voor een goed alarmsysteem in het netwerk. Mocht er dan een hacker binnendringen, ben je daar snel van op de hoogte en kun je vaak een hack stoppen zonder dat dit effect heeft gehad op de productie.

Wat zijn jouw gedachten hierover?

Lees verder

Benieuwd wat jij nú kunt doen om dat alarm binnen 30 minuten geregeld te hebben? Lees dan hier verder.

Tip

Het is mogelijk om dit alarm te proberen. Dit kan volledig kosteloos en zonder automatische overgang naar een betaalde licentie. Meer informatie vind je op: www.securityhive.nl. Vang hackers vandaag nog!

Jouw cybersecurity strategie start bij een verbeterproces 📈

Steeds meer bedrijven zijn afhankelijk van digitale processen en steeds vaker komen -door cybercriminelen getroffen- bedrijven in de media. Tips om hiermee om te gaan zijn overal op het internet te lezen. Maar, wat helpt jou nu écht? In dit artikel beschrijf ik wat jij kunt doen om klein te beginnen en tóch grip te hebben op jouw bedrijfsprocessen.

Probability vs Impact

Risico + impact

Voordat je verder leest, stel jezelf eens de vraag: “Wat is de impact op het moment dat mijn bedrijf getroffen wordt door een cyberincident?” In dit scenario liggen alle digitale processen stil. Wat is dan jouw grootste probleem? Is dit de bedrijfscontinuïteit dat stilligt en fataal kan zijn voor het bedrijf? Of zijn het intellectuele eigendommen die niet openbaar mogen komen? Of is imagoschade het grootste probleem? Weerspiegel dit vervolgens tegenover het risico dat dit gebeurt. Werkt jouw bedrijf volledig digitaal, dan is de kans vele malen groter dan wanneer er traditioneel wordt gewerkt.

Heb jij inzichtelijk hoe kwetsbaar jouw bedrijf is? Zo ja, hoe oud zijn de gegevens waar je naar kijkt? Een ‘fotomoment’ van processen en techniek raken naar mate de tijd verstrekt, steeds meer achterhaald.

Inzicht als uitgangspunt

“Mijn bedrijf is nooit langer dan X aantal uren/dagen vatbaar voor grote risico’s” – zei niemand ooit. Hoe komt het dat er wel gesproken wordt over welke maatregelen er genomen moeten worden maar, dat er eigenlijk nooit grip is op echte risico’s?

Vaak komt dit omdat cybersecurity een specialisme is en erg complex. Met als resultaat dat de belangrijkste punten vaak vergeten worden. Hoe maak je dit nu eenvoudig vraag je? Denk niet in techniek maar, hou het simpel. Techniek is slechts een middel om iets te bereiken. Niets meer, niets minder.

Inzicht versus ruis

Hoe staat jouw bedrijf er eigenlijk voor? Start niet met het verbeteren van jouw beveiliging, als je niet weet welke risico’s jouw bedrijf nú op dit moment loopt. Inzicht is dus jouw startpunt. Inzicht in hoe het bedrijf ervoor staat en inzicht in wat er verbeterd moet worden.

“Data waar je niets mee kunt is ruis”

Is het inzicht van vandaag, over zes maanden nog actueel? Het antwoord is: Nee. Continu verandert er iets binnen de IT-omgeving. Het kan zijn dat een medewerker een netwerkpoort openzet (om tijdelijk een verbinding te kunnen maken) of dat er een softwareversie kwetsbaar blijkt en sinds vanmorgen op grote schaal misbruikt wordt. Inzicht is dus zo oud als de data waar je naar kijkt. Kijk jij naar verouderde data? Dan heb je geen inzicht maar ruis. Vulnerability Management is een middel om dit inzicht geautomatiseerd te krijgen. Meer hierover kun je lezen op deze pagina.

Grip

Nu je dit inzicht hebt verkregen. Is het tijd om te zorgen voor grip. Met grip heb jij controle over de situatie. Jij weet hoe het bedrijf ervoor staat, wat er moet gebeuren om bestaande maar ook nieuwe risico’s weg te nemen en meet dit continu. Eigenlijk lijkt dit al op een verbeterproces. Je kunt vandaag al beginnen!

Samengevat

De vraag: “Hoe staan wij ervoor?” kun jij iedere dag beantwoorden, jij weet wat er moet gebeuren om risico’s weg te nemen en meet ook hoe lang hiervoor nodig is. De eerste stap van jouw verbeterproces staat. Een volgende stap is een maximaal tijdsbestek of deadline hangen aan elk groot risico dat zich voordoet.

Klaar om hackers te vangen met honing? Lees dan dit artikel.

Tip: het is mogelijk om Vulnerability Management te proberen. Dit kan volledig kosteloos en zonder automatische overgang naar een betaalde licentie. Meer informatie vind je op: www.securityhive.nl.

😰 Twee cybersecurity incidenten die je hard (kunnen) raken..

Incident 1:

Vorige week dinsdagavond 21:03, de telefoon gaat. “Goedenavond Peter, waarschijnlijk is het niets, maar ik wil het toch even zeker weten.”.

Een klant belt nadat een melding van de Honeypot (techniek om hackers te detecteren) is ontvangen. Het kan wel eens voorkomen dat een monitoringstool deze raakt, maar altijd belangrijk om even te kijken.

Al snel heb ik door dat er iets vreemds aan de hand is. Gebruikersnamen die intern gebruikt worden en bepaalde bestanden waar naar wordt gezocht komen bekend voor, nadat de Honeypot dit heeft gedetecteerd. ⚠️

Het blijkt dat een ontslagen medewerker nog toegang had tot specifieke accounts en daarmee zocht op het netwerk van de klant.

Na de detectie, worden er snel maatregelen getroffen en kan eventuele schade voorkomen worden. In ieder geval huiswerk om het beleid eens te herzien.

Incident 2:

Vrijdagavond 23:58: een klant is bezig met gepland onderhoud van enkele systemen. De beheerder krijgt een SMSje 💬van SecurityHive . Een detectie op de neppe “domain controller” (Honeypot), afkomstig van een Remote Desktop Server. De beheerder logt direct in op het Dashboard van SecurityHive .

Met die informatie ontdekt hij dat een ransomware-aanval wordt uitgevoerd. Direct brengt hij het netwerk offline en begint met het registreren van acties en informeren van een collega. 🚨

Helaas is één server besmet geraakt en versleuteld, maar de andere systemen zijn bewaard gebleven door de vroege detectie van de Honeypot. Na een nachtje doorhalen en het terugplaatsen van een backup is de server weer online. Ondanks het incident gelukkig een hoop tijd en geld bespaard.

Vaak sneller dan een Endpoint Protection (EPP)

Dit zijn incidenten die zich echt voor hebben gedaan en die door ons zijn gedetecteerd. Vaak al eerder dan een Endpoint Security 🔒. Deze incidenten komen vaker voor en zijn niet beperkt tot een specifieke sector.

Kijk vandaag nog naar de maatregelen die jij hebt getroffen. 👀 Vroeg of laat wordt ook jouw netwerk aangevallen.

Heb ik jou donderdag aan de lijn om een incident te behandelen, of bel je liever met mijn collega Kevin Groen (010 – 200 1350) om dit voor te zijn? 📞 (uiteraard kun je ons ook spreken over andere zaken dan incidenten😉).

Tip:

Mocht je verder willen lezen over hoe jij hackers vangt met honing, lees dan hier verder.

Het is mogelijk om een Honeypot te proberen. Dit kan volledig kosteloos en zonder automatische overgang naar een betaalde licentie. Wil je meer informatie of een demo aanvragen, kijk dan op: www.securityhive.nl.

Vang hackers met honing! 🍯

Apache 0-day kwetsbaarheid webserver 2.4.49

Momenteel wordt een kwetsbaarheid in de webserver Apache met versie 2.4.49 actief misbruikt op het internet. Door deze kwetsbaarheid kan een webserver offline worden gebracht en kan toegang worden gekregen tot gevoelige informatie en bestanden.

Wanneer heb ik deze kwetsbaarheid?

Apache wordt door veel hostingproviders en bedrijven gebruikt om websites te hosten en beschikbaar te maken op het internet. De kwetsbaarheid is geïntroduceerd in versie 2.4.49 en opgelost in versie 2.4.50. Het is dan ook erg eenvoudig om niet meer kwetsbaar te zijn: update naar versie 2.4.50.

Wat betekent dit voor klanten van SecurityHive?

Klanten van SecurityHive draaien deze kwetsbare versie van Apache niet. Wij hebben direct na bekendmaking van de kwetsbaarheid onze klanten hierop gecontroleerd. Dit inzicht hebben zij verkregen door hun omgeving, servers en websites te scannen met onze Vulnerability Management oplossing.

Wat moet ik nu doen?

Stuur dit artikel door naar uw IT-afdeling of uw hostingprovider. Heeft u vragen of bent u nieuwsgierig of u vatbaar bent? Ga naar onze website en klik op het oranje bolletje rechtsonder in uw scherm. Daar kunt u direct met ons in contact komen, waarna wij uw server/website checken.

Meer informatie is te vinden op de website van het Nationaal Cyber Security Centrum (NCSC).

Hoe is de kwetsbaarheid ontstaan?

De kwetsbaarheid is in versie 2.4.49 geïntroduceerd als onverwachte bijwerking van een wijziging in de code van deze oplossing. Apache webservers die op een versie voor 2.4.49 draaien zijn niet kwetsbaar. Apache webservers die een lagere versie hebben, wordt aangeraden om direct te upgraden naar versie 2.4.50. Huidige gebruikers van versie 2.4.49 dienen zo snel mogelijk te upgraden naar versie 2.4.50.

Hackers vangen met honing

Het probleem bij bedrijven is dat zij simpel weg niet weten of zij gehackt zijn. Jij kunt dit wél weten en wel op een heel eenvoudige manier.

Met een ‘Honeypot’ beschik jij over een vangnet in jouw netwerk dat alarmeert bij de eerste fase van een hack; de verkenningsfase. Honeypot gebruikers zijn in staat een hack live te stoppen terwijl het gebeurt.

Een echt of nep apparaat?

Het grote voordeel is dat jij beschikt over apparaten in het netwerk, dat geen echte apparaten zijn. Bijvoorbeeld een access point of Windows server waarop een hacker kan inloggen en informatie kan vinden. Het voordeel is dat dit geen echte access point of server is waarmee iemand impact kan maken op jouw bedrijfsprocessen. Maar, een ‘apparaat’ dat alles over deze hacker vastlegt en meldt aan de beheerder. 

Hoe het werkt

Het primaire doel is een stil alarm afgeven zodra er een hacker binnen zit. Hierna start het spel om de indringer zo lang mogelijk af te leiden, informatie te verzamelen en te voorkomen dat hij/zij dieper in jouw netwerk komt.

Jij als held

In de tussentijd ben jij als netwerk- of systeembeheerder in staat, met de informatie en het advies van de Honeypot, een hack live te stoppen. Met als resultaat dat jij jouw bedrijf weerhoudt van een cyberincident. Ieder jaar gebeurt dit bij een X aantal van onze klanten met groot succes. Dit aantal loopt met de forse stijging van incidenten alleen maar op. Om erachter te komen waarom dit zo succesvol is, heb ik met ethische hackers gesproken. Om hen te citeren:

“Het is niet te doen om ongezien voorbij een Honeypot te komen. Om erachter te komen of iets een echt of nep apparaat is, moeten wij het eerst bekijken en onderzoeken. Dan is het al te laat. Omdat er weinig bedrijven zijn waar zo’n detectiemiddel zich bevindt, nemen wij vaak de gok dat deze er niet is. Mijn inziens dus een onwijs effectief middel waar ieder bedrijf zo snel mogelijk gebruik van moet maken.”

– Ethisch hacker –

Mocht je verder willen lezen over hoe jouw reactietijd gereduceerd kan worden met een hacker-detectiemiddel: lees hier verder.

Tip: het is mogelijk om een Honeypot te proberen. Dit kan volledig kosteloos en zonder automatische overgang naar een betaalde licentie. Meer informatie vind je op: www.securityhive.nl. Vang hackers met honing!

Ernstige kwetsbaarheid in Windows DNS Server

Microsoft heeft een update uitgebracht nadat beveiligingsonderzoekers van Check Point een ernstige kwetsbaarheid (CVE-2020-1350) hebben ontdekt in Windows DNS Server met een CVSS Score van 10.0. Vrijwel elke Windows Server is kwetsbaar, ook Windows Server 2016 en 2019.

De kwetsbaarheid is geclassificeerd als “wormable”. Dat betekent dat malware/virussen zich snel kunnen verspreiden, zonder interactie van een gebruiker of administrator. Doordat Windows DNS Server met verhoogde rechten draait, kan de aanvaller Domain Administrator rights verkrijgen. Hierdoor kan de gehele infrastructuur besmet raken.

Advies

De kwetsbaarheid is al langere tijd aanwezig, maar het lijkt er op dat deze nog niet is misbruikt. Nu dit naar buiten is gekomen, is het belangrijk dat snel actie wordt ondernomen. Aanvallers kunnen nu namelijk ook starten met het ontwikkelen van scripts die de kwetsbaarheid misbruiken.

Om de kwetsbaarheid op te lossen, raadt Microsoft aan om de laatste Windows Updates uit te voeren. Er zijn ook adviezen om een workaround toe te passen, maar de update is de meest effectieve/betrouwbare manier.

Link naar advies Microsoft: Klik hier

Link naar onderzoek Check Point: Klik hier

Misbruik en aanwezigheid detecteren

Het is geen garantie dat er geen misbruik is gemaakt van de kwetsbaarheid. Dit is wel belangrijk, omdat met Domain Administrator rights veel mogelijk is in de infrastructuur.

De Honeypot en Network Vulnerability Scanner komen hier goed van pas. De Network Vulnerability Scanner alarmeert wanneer kwetsbaarheden in het netwerk zijn gevonden. Als detectie van de kwetsbaarheid nog niet mogelijk is, is de Honeypot daar als vangnet om misbruik te detecteren en schade te beperken.

Veilige email met ondersteuning DNSSEC en DANE in Microsoft Office 365

Goed nieuws! De kans is groot dat je veiliger gaat emailen en ontvangen. Veel bedrijven maken gebruik van Office 365 (binnenkort Microsoft 365). Het is een eenvoudige en krachtige oplossing voor bedrijven en organisaties. Microsoft heeft aangekondigd om nu ook DANE en DNSSEC te gaan ondersteunen. Wat is DANE en DNSSEC nu eigenlijk?

DANE heeft twee grote voordelen die ook verplicht zijn voor overheidsorganisaties. Het protocol dwingt een beveiligde verbinding (STARTTLS) af tussen mailservers en geeft zekerheid over de identiteit van de ontvangende mailserver. Dat betekent dat als je een email verstuurt dit ten eerste over een beveiligde verbinding gaat (vanaf de mailserver naar de ontvanger). Ten tweede zorgt DANE dat de mailserver van de ontvangende partij ook echt de juiste mailserver is. Zo kunnen hackers niet tussen de server van de afzender en ontvanger zitten en emails onderscheppen.

DNSSEC is een belangrijk onderdeel in dit proces. Het zorgt ervoor dat de DNS-informatie betrouwbaar is. Weet je niet (helemaal) hoe DNS werkt? Klik hier voor meer informatie. DNSSEC voegt een controleerbare handtekening toe aan de DNS-informatie. Zo kan een aanvaller het verkeer niet omleiden door in jouw netwerk valse DNS-informatie te tonen.
Een eenvoudige uitleg over DNSSEC vindt je op de website van SIDN.

Benieuwd hoe de beveiliging van de emailserver in jouw organisatie geregeld is? Neem contact op met ons!

Bart Knubben (Adviseur internet- en beveiligingsstandaarden) van Forum Standaardisatie heeft een standaard opgesteld welk in te zien is op deze site.