Fortinet og Sonicwall, samtidig, og Fortinet sårbarheten krever i tillegg mer enn oppdatering. Denne type sårbarhet har kommet over lengre tid, og ingenting tyder på at det skal stoppe. Og tenk at ett eneste proaktivt tiltak ville vingeklippet alt, selv med sårbarhetene tilstede.
«En sårbarhet kommer sjelden alene» sier NSM så klokt. De har også laget en podcast om temaet. Hensikten er å synliggjøre viktigheten av lagvis sikkerhet.
- https://www.fortinet.com/blog/psirt-blogs/analysis-of-sso-abuse-on-fortioshttps://www.fortinet.com/blog/psirt-blogs/analysis-of-sso-abuse-on-fortios
Denne artikkelen fra Politiet fremhever flere hendelser som har skjedd med Sonicwall kunder grunnet misbruk av denne sårbarheten:
Det er jo ikke noe nytt angående tiltakene
Igjen og igjen kommer det slike sårbarheter. Igjen og igjen blir de misbrukt og forårsaker skader, skaper konsekvenser og kostnader. Men igjen og igjen kunne de vært unngått med de samme proaktive tiltakene.
Oppgradér er alltid meldinga 🙈
Anbefalingene fra myndighetene er alltid å oppdatere systemet, men det kan være for sent på mange måter, da noen allerede kan ha hentet ut sensitiv informasjon som f.eks brukernavn og passord som også kan brukes etter en oppdatering.
Sonicwall anbefalinger
Anbefalingen fra Sonic Wall i denne sammenhengen er:
Inngående tilgangskontroll
To minimize potential impact, we recommend restricting firewall management to trusted sources or disabling firewall WAN management from Internet access
Dette er den samme anbefalingen jeg har hele tiden, og det første jeg adresserer ved optimalisering av sikkerhet, uansett produkt og tjeneste. Sikre at tjenester bare er tilgjengelig fra de land det er forretningsmessig behov for. De aller fleste vil klare seg med Norge. Noen vil si at man fortsatt kan misbruke sårbarhetene, og det er riktig, men da bare fra norske IP adresser fordi man har redusert angrepsflaten til det minimale og fjerner lykkejegernes hagleskudd. De vil ikke se deg med sine vilkårlige scanninger, eller scanning etter sårbare enheter, og dermed vil de fokusere på mål med dårligere beskyttelse.
MFA er alltid anbefalt, men med sårbarheter som disse kommer man seg inn uten autentisering. Det er derfor av stor verdi å begrense angrepsflaten til det minimale.
Utgående tilgangskontroll
Tar man høyde for at uvedkommende fortsatt kan komme seg inn, bør man alltid begrense hva brannmuren og andre systemer på innsiden (servere og annet) har tilgang til mot internett i tråd med VG testen for at aktørene ikke skal kunne fullføre sin skade. Å adressere VG testen hadde avverget nærmest alle hendelser med datalekkasje og kryptering, selv om aktørene hadde jobbet fra norske IP adresser.
Det skjedde i Danmark 🇩🇰 i 2023
Dette skjedde i Danmark 🇩🇰 i 2023 grunnet en sårbarhet i en Zyxel brannmurer som ble misbrukt. Også her mangler begrensninger i regler både inngående og utgående.
In May 2023, the Danish cybersecurity non-profit SektorCERT reported a major, coordinated cyberattack against22 Danish critical infrastructure operators (primarily energy companies) that exploited unpatched vulnerabilities in Zyxel firewalls.
Det skjedde på Gran i 2024
Gran kommune hendelsen ble et faktum grunnet manglende tilgangskontroll fra internett, og utgående:
Fellesnevnerne
Så. Hendelsene med Sonicwall, hendelsene i Danmark og Gran kommune, har alle det til felles at de kunne vært avverget med fokus på hvilke land som trenger tilgang.
Landbasert tilgangskontroll hadde med over 99% sannsynlighet avverget alle disse tre hendelsene, selv med software sårbarhetene tilstede.
Med adressering av VG testen i tillegg ville disse hendelsene med 100% sannsynlighet vært avverget. Tenk på det.
Men det er det dessverre altfor få som tar til seg.
Leave a Reply