Notepad++: statelijke actoren hadden maandenlang toegang tot webserver

[Captain Kirk]

Statelijke actoren hadden maandenlang toegang tot de webserver van Notepad++ en hebben die toegang misbruikt voor het aanvallen van bepaalde gebruikers van de populaire teksteditor. Dat stelt de ontwikkelaar van Notepad++ in een blogposting. In december kwam Notepad++ met een update voor een kwetsbaarheid waardoor aanvallers malafide updates onder gebruikers van de software konden verspreiden. Notepad++ wordt onder andere door programmeurs gebruikt. Verschillende niet nader genoemde organisaties met belangen in Oost-Azië werden slachtoffer van de malafide Notepad++-updates.

Het beveiligingslek waar de aanvallers misbruik van maakten bevindt zich in de manier waarop de updater van Notepad++ de integriteit en authenticiteit van het gedownloade updatebestand controleert. In het geval een aanvaller het netwerkverkeer tussen gebruikers van Notepad++ en de updateservers van Notepad++ kan onderscheppen, is het mogelijk om de updater een malafide bestand te laten downloaden en uitvoeren, in plaats van een legitieme update.

Volgens de ontwikkelaar van Notepad++ hebben beveiligingsonderzoekers onderzoek naar de aanval gedaan en ontdekten dat aanvallers maandenlang toegang tot de webserver hadden waar de editor wordt gehost. Het gaat om een shared hostingserver waar aanvallers van juni tot september toegang toe hadden. Een update van de kernel en firmware zorgde ervoor dat de aanvallers op 2 september de toegang verloren.

Hoewel de aanvallers de toegang op 2 september verloren, beschikten ze nog wel over inloggegevens voor interne services die op de betreffende server draaiden. Daardoor konden de aanvallers verkeer van notepad-plus-plus.org naar hun eigen server redirecten en zo malafide updates onder gebruikers verspreiden. De aanvallers hadden het daarbij specifiek voorzien op Notepad++, andere partijen die van de shared hostingserver gebruikmaakten zijn niet aangevallen.

Hoe de aanvallers toegang tot de server wisten te krijgen is niet bekendgemaakt. De hostingprovider stelt dat het meerdere kwetsbaarheden heeft gepatcht en dat de aanvallers één van deze kwetsbaarheden opnieuw hebben geprobeerd te misbruiken, maar dat deze poging mislukte. Om welk beveiligingslek het gaat wordt niet vermeld. De ontwikkelaar van Notepad++ vermoedt dat de aanvallers dan ook van juni tot en met december toegang hadden.

De ontwikkelaar van Notepad++ stelt verder dat hij vanwege de aanval naar een andere hostingprovider is overgestapt die "sterkere security practies" zou toepassen. Daarnaast zijn er al verschillende maatregelen aan de teksteditor zelf doorgevoerd om de verspreiding van malafide updates tegen te gaan.

 

bron: https://www.security.nl