CISA en FBI melden actief misbruik van lekken in Pulse Secure, Citrix en BIG-IP

[Captain Kirk]

Een groep aanvallers maakt actief misbruik van bekende kwetsbaarheden in Pulse Secure, Citrix en BIG-IP om organisaties aan te vallen, zo laten de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security in een waarschuwing weten.

Het zou om een vanuit Iran opererende groep gaan die ook bekend staat als Pioneer Kitten en UNC757. De groep zoekt actief op internet naar kwetsbare vpn-servers en probeert vervolgens toegang te krijgen. Het gaat hierbij om kwetsbaarheden in de eerder genoemde producten waarvoor al geruime tijd beveiligingsupdates beschikbaar zijn. Zodra er toegang is verkregen proberen de aanvallers inloggegevens van beheerders te bemachtigen. Daarmee wordt een webshell geïnstalleerd om toegang tot het gecompromitteerde systeem te behouden, aldus de waarschuwing van de FBI en het CISA.

Het doel van de aanvallers is vermoedelijk het stelen van gevoelige gegevens, zo blijkt uit het gebruik van het programma 7-Zip en het bekijken van gevoelige documenten. Ook zou de groep toegang tot gecompromitteerde organisaties aan cybercriminelen verkopen. Het vermoeden bestaat dat de groep als "contractor" werkt voor de belangen van de Iraanse overheid, maar met de aanvallen ook het eigen financiële gewin dient.

Zowel federale Amerikaanse overheidsinstanties alsmede andere in de VS gebaseerde netwerken zijn het doelwit van de aanvallers geworden. In de waarschuwing geven de FBI en het CISA een omschrijving van de werkwijze van de groep, alsmede adviezen om netwerken te beveiligen, waaronder het up-to-date houden van software.

 

bron: security.nl