Server en software certificaatautoriteit MonPass voorzien van backdoor

[Captain Kirk]

Aanvaller zijn er begin dit jaar in geslaagd om een webserver van de Mongoolse certificaatautoriteit MonPass te compromitteren en de clientsoftware van een backdoor te voorzien. Dat laat antivirusbedrijf Avast weten. Certificaatautoriteiten geven tls-certificaten uit die worden gebruikt voor het opzetten van een beveiligde verbinding tussen websites en bezoekers en het identificeren van websites. Ze spelen zodoende een zeer belangrijke rol op internet.

De onderzoekers van de virusbestrijder vonden op een server van MonPass in totaal acht verschillende webshells en backdoors. Via een webshell kan een aanvaller verbinding met de server maken en verdere aanvallen uitvoeren. Daarnaast wisten de aanvallers de MonPass-clientsoftware die via de server werd aangeboden van een backdoor te voorzien. Het ging om de Cobalt Strike-software die bij installatie van de clientsoftware ook werd uitgevoerd. Cobalt Strike is een tool die onder andere door aanvallers wordt gebruikt om netwerken te compromitteren.

De besmette software werd van 8 februari tot 3 maart van dit jaar via de officiële MonPass-server aangeboden. Hoe de server kon worden gecompromitteerd is niet bekend. De backdoor in de software werd op 24 maart van dit jaar door Avast gedetecteerd. Op 20 april deelde MonPass een image van de gecompromitteerde webserver. Twee dagen later deelde het antivirusbedrijf informatie over het incident met de certificaatautoriteit. Pas op 29 juni liet MonPass weten dat het probleem was verholpen en klanten waren ingelicht. Daarop heeft Avast nu de details openbaar gemaakt.

 

bron: https://www.security.nl