Perspektivet - Januar 2024

Verden brenner igjen og det er SSLVPN sin feil

I flere år skrev jeg et ukentlig nyhetsbrev kalt "Kryptisk cybersikkerhet", den var modellert etter et nyhetsbrev skrevet av Mattias Geniar kalt "cron.weekly. Tanken bak var å aggregere det som var verdt eller viktig å få med seg innenfor fagfeltet. Jeg vil ikke si at det var et populært nyhetsbrev, men den hadde noen abonnenter og jeg håper de satte pris på den. Dessverre måtte jeg gi det opp da min tid ikke lenger strakk til, å skrive et ukentlig nyhetsbrev krevde tid jeg ikke lenger hadde til rådighet og i desember 2021 var det slutt. Men jeg har tenkt på nyhetsbrevet en stund, det var noe behagelig med å starte søndagen med nyhetsbrevet (og en kopp kaffe).
Og selv om jeg ikke har tid til å skrive et ukentlig nyhetsbrev lenger, er det kanskje mulig for meg å skrive et nyhetsbrev som ikke fokuserer på de siste nyhetene, men fokuserer på det store temaene innenfor vårt fagfelt. Derfor forsøker jeg å starte opp igjen, men denne gang som et månedlig nyhetsbrev.
Velkommen til Perspektivet.

Verden brenner igjen og det er SSLVPN sin feil .. og Ivanti.

A secure sockets layer VPN (SSL VPN) enables individual users to access an organization's network, client-server applications, and internal network utilities and directories without the need for specialized software.
Fortinet

SSL VPN løsninger har vært populære siden de ikke krever spesielt programvare hos sluttbrukeren. Og i starten på 2000-tallet var de et svar til datidens VPN-teknologier (IPSec & PPTP) mange sikkerhetsutfordringer.
I januar 2024 så publiserte Ivanti (1) to kritiske sårbarheter i flere av sine VPN produkter (se lenker for nøyaktig informasjon om hvilken produkter det gjelder). Dette ble fulgt av en bloggpost fra Volexity (2) om hvordan en trusselaktør allerede hadde utnyttet disse sårbarhetene for å kompromittere flere organisasjoner. Det skulle fort vise seg å være en større globalt kampanje som hadde kompromittert flere tusen organisasjoner, inkludert flere norske (3)(4).
Ivanti sin respons har vært langt fra optimalt, oppdateringer tok tid og grunnet den enorme pågangen var det vanskelig å få hjelp fra dem. Samtidig som disse boksene er krypterte og kan være vanskelig å jobbe med for en hendelseshåndterer.

Så hvordan kom vi i denne situasjonen?
Det er ikke første gang vi er i denne situasjonen, i april 2021 (5) ble også sårbarheter i Pulse Secure utnyttet av en trusselaktør. Og Ivanti sin respons minner veldig om responsen vi så nå. Sene oppdateringer, henvisning til "integrity tool" for å få indikasjoner om organisasjonene var påvirket. Men jeg tror vi kan egentlig takke oss selv. Jeg tør å påstå at dette er teknologi som har sett sine bedre dager og er overmoden for utskifting. Vi har sett samme type hendelser med både Fortinet og Cisco. Det lille organisasjonene sparer på å vente med en utskifting renner vekk under håndtering av hendelser. Det er rett og slett dårlig butikk.
Hvem er trusselaktøren som står bak dette? Vel, la oss si en "indo-asia-pacific player"

  1. https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
  2. https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/
  3. https://www.volexity.com/blog/2024/01/15/ivanti-connect-secure-vpn-exploitation-goes-global/
  4. https://labs.watchtowr.com/welcome-to-2024-the-sslvpn-chaos-continues-ivanti-cve-2023-46805-cve-2024-21887/
  5. https://www.mandiant.com/resources/blog/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day

Anbefalt lesing: The near-term impact of AI on the cyber threat

NCSC (UK) publiserte en rapport der de ser på bruken av AI i forhold til trusselaktører og innvirkningen på cybertrusselen. AI er kommet for å bli og dette påvirker alle aspekter av cybersikkerhet. Og selv om mange (selgere) vil påstå at AI er løsningen på de utfordringer som organisasjonene har innenfor cybersikkerhet, er det ikke tilfelle.
Vil det gjøre jobben enklere for mange? Helt klart, fra å hjelpe analytikere å skrive sårbarhetsvarsler eller analysere alarmer i en SIEM, til å hjelpe med deteksjonsutvikling. Samtidig er det viktig å huske at denne kapabiliteten også vil være tilgjengelig for trusselaktørene.

https://www.ncsc.gov.uk/report/impact-of-ai-on-cyber-threat

Anbefalt bok: The Apple II Age - Laine Nooney

Apple II har vært avgjørende for den digitale alderen vi lever i nå, dette er historien om denne fantastiske maskinen.

https://www.adlibris.com/no/bok/the-apple-ii-age-9780226816524

Anbefalt foredrag: Foresight Analysis: The Magic Eight Ball of Intelligence Analysis - Freddy Murstad

Foredraget til Freddy fra FIRST CTI konferansen.

https://youtu.be/ZwfVzFTV8Gs?si=ujivbq-fu-QszXQv

Verktøy & Prosjekter

LogBoost

"LogBoost is a command-line utility originally designed to enrich IP addresses in CSV files with ASN, Country and City information provided by the freely available MaxMind GeoLite2 DBs."

Konferanser og meetups

Kommende konferanser og meetups. I tilfeldig rekkefølge.

OsloSec

Oslosec går fortsatt går sin gang. I åtte Oslosec har lagt til rette for at sikkerhetsinteresserte kunne nettverke.
https://www.meetup.com/oslosec/events/298796929

HackCon #19

En av de eldste sikkerhetskonferanser i Norge går fortsatt sin gang. 14 & 15 februar og fortsatt på Høyres Hus. Det er noen veldig spennende foredrag, skulle bare ønske det var i bedre lokaler.

https://www.hackcon.org/hackcon19

Subscribe to Perspektivet

Sign up now to get access to the library of members-only issues.
Jamie Larson
Subscribe