Berichten

Camera's vóór code

SonicWall Cyber Threat Report 2022: wat kunt u verwachten op het gebied van online security?

5.306.190.900.000

Dat was het aantal cyberaanvallen in 2021 – zo blijkt uit de SonicWall Cyber Threat Report 2022 . Een immens getal… in vergelijking is dat 684 aanvallen per individuele inwoner op de aarde. Ieder jaar wordt het lastiger en lastiger om als organisatie optimaal beschermd te zijn online. Bekijk welke trends op het gebied van cyber security u kunt verwachten in 2022.

In de grafiek hierboven ziet u een verdeling van de 5 biljoen + aanvallen. Malware aanvallen lijken als enige in een dalende trend te zijn, al waarschuwt het rapport ook dat er een kans is op een groei in 2022. Encrypted Threats zijn de grote uitschieter. Klik op de onderstaande hoofdstukken voor snelle toegang tot de trends van de verschillende cyber security aanvallen.

Malware
Ransomware
Cryptojacking
Encrypted aanvallen
Intrusion attempt

Malware

De hoeveelheid malware online daalt al sinds 2019. Tussen eind 2019 en eind 2022 is het aantal gedaald met 2.7 miljard naar 2.4 miljard in de tweede helft van 2020. De jaarlijkse cijfers van 2021 lijken een vervolg te laten zien op deze trend. De half jaar cijfers geven niettemin iets heel anders weer. Begin 2021 mat SonicWall 2.5 miljard malware, een groei van 0,1 miljard. Eind 2021 groeide het aantal zelfs door tot 2.9 miljard. Wat verklaart deze groei?

Een mogelijke verklaring, die in het rapport wordt benoemd, is de COVID-19 crisis. Vóór 2020 waren veel netwerken nog niet goed ingesteld op thuiswerkers. Pas tijdens de crisis is op dit vlak actieve ontwikkeling gemaakt. In de tussentijd is veel malware buiten de radar gebleven. Nu mensen naar kantoor gaan en organisaties thuisnetwerken beter in kaart hebben is de zichtbaarheid op aanvallen hoger. Met mogelijk gevolg dat het aantal zichtbare malware ook hoger is.

Of er echt een groei gaande is in malware of niet zal in 2022 moeten blijken.

Meest voorkomende Malware Filenames

De meest voorkomende Malware Filenames staan hieronder. U kunt deze bestanden bijvoorbeeld doorgestuurd krijgen via de mail als bijlage:

  • Confirma-Webmail.bat
  • QUOTATION.exe
  • SOA.exe
  • PURCHASE ORDER.exe
  • Invoice.exe
  • PO.exe
  • New order.exe
  • DHI_document.doc.exe
  • Product-inquiry_PDF.exe
  • Payment.exe

Ransomware

Er vinden bijna 20 ransomware aanvallen plaats elke seconde! Dit geval zal blijven stijgen in 2022. Een steeds populairdere ransomware is triple extortion. Net als bij double extortion, verzamelt de afperser grote hoeveelheden gegevens voordat hij/zij het netwerk van een slachtoffer versleuteld. De afperser filtert dan door de gegevens heen om te kijken wie het meest te verliezen heeft en eist losgeld van deze persoon.

SonicWall haalt zelf een voorbeeld aan van een Finse psychotherapie. De afperser eiste in eerste instantie alleen van de organisatie losgeld, maar daarna ook van klanten van de praktijk. De US zag in 2021 een grote ransomware campagne waarin afpersers USB’s afleverden van ‘Amazon’, inclusief box en nep gift card. Op de USB stond ransomware.

Cryptojacking

Cryptojacking betekent het kapen van apparaten om crypto te delven zonder dat het slachtoffer het door heeft. Een gekaapt apparaat kan normaal gebruikt worden, maar draait stiekem op de achtergrond kwaadaardige software. Cryptojacking gebeurde voornamelijk via kwaadaardige links en malvertising, maar de aanval verstoppen achter een gekraakte software, kwetsbare webserver of openbare projecthostingwebsite kan tegenwoordig ook.

In het rapport wordt een app aangehaald die zich voordoet als crypto wallet, maar in werkelijk na download de gebruiker om bepaalde rechten vraagt zodat het op de achtergrond crypto kan delven.

Encrypted aanvallen

Een encrypted aanval maakt gebruik van TLS om een encrypted tunnel te creëren voor het verzamelen van data via een internet connectie. TLS biedt legitieme voordelen voor websessies en internetcommunicatie, maar kan ook misbruikt worden. Met name oudere firewalls zijn kwetsbaar, omdat ze een gebrek aan vermogen hebben om cyberaanvallen te detecteren, inspecteren en beperken. Ze bieden eigenlijk een schijn van veiligheid.

⠀Het is om deze reden belangrijk om de nieuwste firewalls te hebben, zodat zelfs versleutelde aanvallen niet door uw bescherming heen kunnen ⠀glippen. Ontdek de opties op onze webshop!


Intrusion attempt

Letterlijk vertaald: poging tot inbraak. Een hacker die een netwerk probeert binnen te breken via een zwakte in het systeem valt bijvoorbeeld onder deze categorie. De drie populairste intrusion attempts zijn:

  1. Remote File Access: een niet-geautoriseerde individu krijgt toegang tot een bestand dat geautoriseerde mogen inzien.
  2. Directory Traversal: deze exploit heeft tot doel om toegang te krijgen tot bestanden en mappen die zich niet onder de ‘working’ directory bevinden. Dit wordt gedaan door bestandvariabelen te manipuleren, zodat het besturingssysteem toegang geeft tot mappen.
  3. Cross-Site Scripting (XSS): XXS-aanvallen zetten kwaadaardige code in legitieme applicaties of websites. Wanneer een bezoeker de gehackte pagina bezoekt wordt de code uitgevoerd.

Dit zijn een paar methodes, maar er zijn er nog veel meer. Bekijk het rapport van SonicWall voor meer informatie.

Bescherming wordt steeds beter

Het aantal cyberaanvallen zal blijven groeien. Gelukkig wordt de bescherming ook steeds beter. SonicWall’s RTDMI technologie bijvoorbeeld. In 2021 heeft dit systeem 442.151 niet-eerder-bekende malware varianten ontdekt. Middels machine learning blijft het zich ontwikkelen om gebruikers continue sterke beveiliging te bieden.

Wilt u ook profiteren van RTDMI? Bekijk de opties op onze webshop. Of neem contact op met onze Sales afdeling via sales@alcadis.nl of 030 – 65 85 125 voor vrijblijvend advies voor uw vraagstuk.

Kritische kwetsbaarheid Log4j: wat kunt u het beste doen?

wifi-security-banner-alcadis

In het weekend van 11 en 12 december werd duidelijk dat er een groot aantal applicaties getroffen zijn door een kritische kwetsbaarheid in java log-tool Log4j, aangeduid als CVE-2021-44228. Later zijn daar ook CVE-2021-45046, CVE-2021-45105 en CVE-2021-44832 aan toegevoegd.

  • Op 10 december 2021 heeft Apache Log4j 2.15.0 voor Java 8-gebruikers uitgebracht om een ​​kwetsbaarheid voor de uitvoering van externe code (RCE) aan te pakken: CVE-2021-44228.
  • Op 13 december 2021 heeft Apache Log4j 2.12.2 voor Java 7-gebruikers en Log4j 2.16.0 voor Java 8-gebruikers uitgebracht om een ​​RCE-kwetsbaarheid aan te pakken: CVE-2021-45046.
  • Op 17 december 2021 heeft Apache Log4j 2.17.0 voor Java 8-gebruikers uitgebracht om een ​​denial-of-service (DOS)-kwetsbaarheid aan te pakken: CVE-2021-45105.
  • Op 28 december 2021 heeft Apache Log4j 2.17.1 voor Java 8-gebruikers uitgebracht om een ​​RCE-kwetsbaarheid aan te pakken: CVE-2021-44832.

Het Nationaal Cyber Security Centrum (NCSC) heeft een lijst online geplaatst op Github met kwetsbare applicaties. Deze lijst wordt regelmatig aangevuld met informatie over applicaties die nog niet op de lijst staan. In dit artikel delen we tips van het NCSC en voorzien we u van de laatste informatie over de statements en instructies van onze vendoren.

Inhoudsopgave

Algemene tips van het NCSC

  1. Inventariseer of Log4j v2 in uw netwerk wordt gebruikt. Hiervoor zijn verschillende scripts voor Linux en Windows beschikbaar: Northwave SecurityPowershell Checker en Log4shell detector. Ook verschillende kwetsbaarheidsscanners hebben updates of plugins uitgebracht om te controleren of systemen kwetsbaar zijn. Let wel: deze scans bieden geen 100% garantie dat u geen kwetsbare systemen heeft.
  2. Wees u ervan bewust dat ook systemen zonder internetverbinding risico kunnen lopen. Aanvallen van binnenuit zijn ook mogelijk.
  3. Controleer voor kwetsbare systemen of uw softwareleverancier reeds een patch beschikbaar heeft gesteld en voer deze zo spoedig mogelijk uit.
    –  Indien het systeem informatie verwerkt wat afkomstig is van het internet en er is geen patch beschikbaar, neem dan mitigerende maatregelen waar mogelijk. Bijvoorbeeld met een Web Application Firewall (WAF) om malafide input te detecteren en/of blokkeren.
    –  Als updaten niet mogelijk is, adviseert Apache de volgende maatregelen:
    –  Waar dit niet mogelijk is, adviseert het NVSC om te overwegen om systemen uit te schakelen totdat een patch beschikbaar is.
    –  De Github lijst die het NCSC bijhoudt, kan u van informatie voorzien over nieuw uitgebrachte patches, maar wij raden aan om zelf ook pagina’s van softwareleveranciers te monitoren.
  4. Controleer zowel systemen die al gepatcht zijn als ook kwetsbare systemen op misbruik. NCSC adviseert te kijken naar misbruik vanaf tenminste 1 december.
  5. NCSC adviseert u om detectiemaatregelen in te schakelen. Verschillende organisaties hebben detectiemaatregelen voor hun firewall-producten beschikbaar gesteld. Ook voor het inschakelen van deze maatregelen geldt dat dit geen garantie biedt dat elke vorm van misbruik wordt tegengehouden.

Opnieuw een kwetsbaarheid in Log4j aangetroffen

Op 14 december publiceerde de onderzoekers van LunaSec een blogpost waarin zij liever weten dat er opnieuw een kwetsbaarheid is gevonden in de java log-tool Log4j. De onderzoekers laten weten dat er na het updaten van systemen naar versie 2.15.0 gebruikers nog steeds kwetsbaar zijn. Updaten naar 2.16.0 wordt dan ook dringend geadviseerd.

In tests van de onderzoekers van Lunasec, blijkt bovendien dat de instelling %m{nolookups} niet beschermt tegen Log4Shell en dat remote code execution nog steeds mogelijk is als de noMsgFormatLookups-flag ingesteld is. Volgens de onderzoekers kan logica om JNDI-lookups uit te schakelen worden omzeild via deze instellingen, wat het systeem kwetsbaar maakt. De onderzoekers adviseren om zo snel mogelijk te updaten naar versie 2.16.0, omdat deze de message lookup patterns uitschakelt en standaard JNDI-functionaliteit uitzet.

Voorbereiden op eventueel misbruik door Log4j

  1. Zorg dat incident response draaiboeken klaarliggen. Weet wie u moet contacteren in het geval van een incident. Zorg dat u een team paraat heeft.
  2. Controleer of bestaande incident response plannen berekend zijn op een incident als Log4j en vul anders aan. Denk bijvoorbeeld aan het isoleren van getroffen systemen en het wijzigen van credentials waar de gecompromitteerde server toegang tot heeft. Stel vast hoe schijf en geheugen artefacten (disk image, memory image) worden veiliggesteld voor verder onderzoek, bijvoorbeeld om te onderzoeken of aangrenzende systemen zijn gecompromitteerd.
  3. Schakel waar mogelijk detectiemaatregelen in. Verschillende organisaties hebben detectieregels voor hun firewallproducten beschikbaar gesteld. Ook voor het inschakelen van deze maatregelen geldt dat dit geen garantie biedt dat elke vorm van misbruik wordt tegengehouden. Breng in kaart wat u niet monitort en vul dat waar mogelijk aan met detectiemaatregelen.
  4. Test uw bestaande back-ups. Maak een offline back-up, ook als u dat normaal niet doet.
  5. Vraag medewerkers u op de hoogte te stellen van verdachte activiteiten. Denk aan verhoogde processoractiviteit of ander afwijkend gedrag.
  6. Zorg dat de gevolgen van een geslaagde aanval beperkt blijven, door verkeer tussen uw systemen te beperken. Segmenteer bijvoorbeeld uw netwerken, of blokkeer niet-noodzakelijk uitgaand netwerkverkeer op uw servers. Breng de afhankelijkheden tussen uw systemen in kaart. Overweeg of u deze afhankelijkheden op korte termijn kunt verminderen.
  7. Log4j is breed gebruikt; het kan gebruikt worden in producten waarbij u het niet verwacht. Kunt u incidenten in de nabije toekomst niet duiden?  Houd dan rekening met een eventuele compromittatie als gevolg van de kwetsbaarheid in Log4j.
  8. De gevonden kwetsbaarheid kan gebruikt worden om een ransomware-aanval uit te voeren. Lees meer hierover in de factsheet Ransomware.
  9. Bepaal of uw leveranciers gebruik maken van Log4j. Scantools detecteren in sommige gevallen geen gebruik van Log4j in producten van leveranciers. Veel leveranciers communiceren proactief over de impact van Log4j op hun producten. Indien dit niet zo is: Vraag uw leverancier naar de kwetsbaarheid en de acties die u kunt ondernemen. Op GitHub verzamelt het NCSC een overzicht van de status van producten.

Statements & instructies vendoren over Log4j

Alcatel-Lucent Enterprise

In onderstaande tabel kunt u vinden welke producten en/of softwareversies van Alcatel-Lucent Enterprise kwetsbaar zijn en wat de aanbeloven acties zijn. 

ProductVersieKwetsbaarImpactOplossing
PALMCloudNeeNVTNVT
Subscription ManagerCloudNeeNVTNVT
Agnostic Data LakeCloudNeeNVTNVT
Asset TrackingCloudJaOnder beoordelingOnder beoordeling
OV Cirrus10.1JaDe betrokken service is tot nader order gestopt met werkenOnder beoordeling
OV Cirrus4.6R1NeeNVTNVT
OV 25004.6R1 of eerderNeeNVTNVT
UcopiaAlleNeeNVTNVT
ClearpassAlleNeeNVTNVT
OV 3600AlleNeeNVTNVT
LBSCloudOnder beoordelingOnder beoordelingOnder beoordeling
RAP ApplianceAlleNeeNVTNVT
NaaSCloudOnder beoordelingOnder beoordelingOnder beoordeling
Titian SD-WANCloudOnder beoordelingOnder beoordelingOnder beoordeling
OmniSwitchAlle modellen, behalve OS2220NeeNVTNVT
OmniSwitchOS2020Onder beoordelingOnder beoordelingOnder beoordeling
OmniAccess Stellar Access PointsAlleNeeNVTNVT
OmniAccess WLAN AP’s & ControllersAlleNeeNVTNVT

Commscope Ruckus

Commscope Ruckus zal software-updates uitbrengen als oplossing voor deze kwetsbaarheid. Omdat het een kritiek probleem is, worden klanten dringend geadviseerd de fix toe te passen zodra deze beschikbaar is. In onderstaande tabel kunt u vinden welke producten en/of softwareversies kwetsbaar zijn en wat de aanbeloven acties zijn. 

ProductVulnerable ReleaseOplossingRelease date
FlexMaster9.13.1Update kan worden toegepast om UMM 2.0 op te lossen via UMM 2.5 en FM 9.13.1
Open een case met TAC om mitigatiescript toe te passen
Niet kwetsbaar voor CVE-2021-44832		29-12-2021
Ruckus AnalyticsAlle versies.Geen actie vereist. Patches worden automatisch bijgewerkt zodra beschikbaar.
Niet kwetsbaar voor  CVE-2021-45105 of CVE-2021-44832		18-12-2021
Ruckus Cloud21.11Geen actie vereist. Patches worden automatisch bijgewerkt zodra beschikbaar.

CVE-2021-44228 opgelost
Niet kwetsbaar voor CVE-2021-45046, CVE-2021-45105
CVE-2021-44832 wordt onderzocht

20-12-2021
SCIJa

On prem versie  5.3.1, v5.4.2 en v5.5.x

SCI (Cloud): geen actie vereist. Patches worden automatisch bijgewerkt zodra beschikbaar.
SCI (standalone/on-prem): zie KBA #10215 voor te nemen stappen.Lost CVE-2021-44228, CVE-2021-45046 en CVE-2021-44832 op
SCI niet kwetsbaar voor CVE-2021-45105		SCI (Cloud): 16-12-2021
SCI (standalone/on-prem): 20-12-2021
SmartZone + Virtual SmartZone5.0 t/m 6.0KSP-patchbestanden zijn gepubliceerd op de Ruckus Support Site.

KSP lost CVE-2021-44228 en CVE-2021-45046 op
SZ/vSZ niet kwetsbaar voor CVE-2021-45105 of CVE-2021-44832

SZ 6.0: 17-12-2021 ( Let op! In het artikel van Ruckus staat geschreven dat de file geupload kan worden via administration->Diagnostics, maar in SZ 6.0 zit dit op een andere plek. Het makkelijkste is daarom om te zoeken op “diagnostics” in de zoekbalk)
SZ 5.2.2: 17-12-2021
SZ 5.1 en 5.0: 17-12-2021
SmartZone + Virtual SmartZone FIPs5.2.1.3

Overige SZ FIPS Releases

KSP-patchbestanden zijn gepubliceerd op de Ruckus Support Site.
Installeer de KSP wanneer beschikbaar op de Ruckus Support Site.KSP lost CVE-2021-44228 en CVE-2021-45046 op
SZ/vSZ niet kwetsbaar voor CVE-2021-45105 of CVE-2021-44832		SZ FIPS 5.2.1.3: 17-12-2021
Overige releases zijn nog onder beoordeling
Unleashed Multi-Site Manager (UMM)2.0 t/m 2.6Update kan worden toegepast om UMM 2.0 op te lossen via UMM 2.5 en FM 9.13.1
Open een case met TAC om mitigatiescript toe te passenNiet kwetsbaar voor CVE-2021-44832		29-12-2021

Producten die niet kwetsbaar zijn:

  • Alle Access Points (Inclusief de Unleashed AP’s)
  • Cloudpath
  • ICX Switches
  • Mobiele apps: de Ruckus Cloud app is niet kwetsbaar. Swipe, SPoT, Speedflex, Unleashed apps gebruiken android en worden niet beïnvloed.
  • Ruckus Network Director (RND, versie 3.0 en eerder)
  • SmartZone Dataplane
  • SPoT/vSPoT
  • Unleashed
  • ZoneDirector

De volgende producten worden op dit moment nog beoordeeld Ruckus LTE (inclusief LTE AP’s) en IoT

EnGenius

De experts van EnGenius hebben na zorgvuldig onderzoek laten weten dat hun producten en services niet getroffen zijn door de kwetsbaarheid Log4j.

IgniteNet

Volgens de productmanagers van IgniteNet zijn hun producten en diensten niet getroffen door de Log4J-kwetsbaarheid.

SonicWall

SonicWall heeft haar productlijn onderzocht om te bepalen welke producten door Log4J kunnen worden getroffen. In onderstaande tabel kunt u vinden welke producten kwetsbare versie(s) van Log4j gebruiken en of deze worden beïnvloed.

SonicWall-product (apparaat/Cloud/Virtual/OnPrem)ToestandBeschrijving
E-mail Security

  • Hosted Email Security (HES)
  • On-premise Email Security
BeïnvloedEmail Security (ES) 10.0.12 en eerdere versies zijn getroffen door Log4j-kwetsbaarheden CVE-2021-44228 (ES 10.0.11 en eerder), CVE-2021-45046 en CVE-2021-45105.

SonicWall heeft SonicWall Email Security-firmware 10.0.13 uitgebracht met de bijgewerkte Log4j2 2.17.0, waarmee de bovengenoemde kwetsbaarheden worden verholpen. Hosted Email Security (HES) werd automatisch gepatcht.

BELANGRIJK: Alle SonicWall klanten die gebruik maken van Email Security (On-Prem) moeten onmiddellijk inloggen op MySonicWall en upgraden naar Email Security firmware 10.0.13. Ook als ze eerder een upgrade naar 10.0.12 hebben uitgevoerd.

NSM

  • NSM SaaS
  • NSM On-Premise
BeïnvloedUit onderzoek is gebleken dat NSM gebruikmaakt van een kwetsbare Log4j-versie. SonicWall heeft een uitgebreide analyse van NSM uitgevoerd die geen waarneembare aanvalsvectoren voor de Log4j2-suite van kwetsbaarheden opleverde.

Om toch het zekere voor het onzekere te nemen, heeft SonicWall eNSM (On-Prem) firmware 2.3.2-R12-H2 gepubliceerd met Log4j 2.17.0, waarmee CVE-2021-45105 en CVE-2021-42550 worden verholpen. Als voorzorgsmaatregel bevat NSM 2.3.2-R12-H2 ook een upgrade naar Logback 1.2.9 om CVE-2021-42550 te verhelpen.

NSM (SaaS) is automatisch gepatcht naar de nieuwste firmware.

BELANGRIJK: Alle SonicWall-klanten die NSM (On-Prem) apparaten gebruiken, moeten onmiddellijk inloggen op MySonicWall en upgraden naar 2.3.2-R12-H2. Ook als ze eerder een upgrade naar 2.3.2-R12-H1 hebben uitgevoerd.

WAFDeels beïnvloedWAF 3.x gebruikt Log4j, maar alleen wanneer de legacy ‘Cloud Management’-functie is ingeschakeld. SonicWall raadt klanten aan om ‘Cloud Management’ uit te schakelen indien ingeschakeld. Deze wijziging heeft geen invloed op de functionaliteit. Deze functie is standaard uitgeschakeld.

WAF 2.x en eerdere versies gebruiken Log4j niet en worden niet beïnvloed.

Gen5-firewalls (EOS)

  • TZ100/W
  • TZ200/W
  • TZ210/W
  • NSA 220/W
  • NSA 250M/250M-W
  • NSA 2400/MX/3500/4500/5500
  • NSA E5500/6500/6500/8500/8510
Niet beïnvloedLog4j2 wordt niet gebruikt.
Gen6-firewalls

  • TZ300/W; TZ350/W

  • TZ400/W

  • TZ500/W

  • TZ600

  • NSA 2600/2650/3600/3650/4600

    /4650/5600/5650/6600/6650

  • SM 9200/9400/9600/9800

  • NSa 9250/9450/9650

  • NSSP 12400/12800

  • NSV 10/25/50/100/200/400/800/1600 (ESX, KVM, HYPER-V, AWS, Azure)

Niet beïnvloedLog4j2 wordt niet gebruikt.
Gen7-firewalls

  • TZ270/W

  • TZ370/W

  • TZ470/W

  • TZ570/W

  • TZ670

  • NSA 2700/3700/4700/5700/6700

  • NSSP 10700/11700/13700/15700

  • NSV 270/470/870 (ESX, KVM, HYPER-V, AWS, Azure)

Niet beïnvloedLog4j2 wordt niet gebruikt.
SonicWall SwitchNiet beïnvloedLog4j2 wordt niet gebruikt in de SonicWall Switch.
SMA 100

  • SMA 200/210/400/410
  • SMA 500v (ESX, KVM, Hyper-V, AWS, Azure)
Niet beïnvloedLog4j2 wordt niet gebruikt in de SMA100-appliance.
SMA 1000

  • SMA 6200/7200/6210/7210

  • SMA 8200v (ESX, KVM, Hyper-V, AWS, Azure)

  • SRA EX 7000

Niet beïnvloedVersie 12.1.0 en 12.4.1 gebruiken geen kwetsbare versie.
MSWNiet beïnvloedMysonicwall-service maakt geen gebruik van Log4j.
AnalyzerNiet beïnvloedAnalyzer versie 1.x maakt geen gebruik van de kwetsbare Log4j-versie.
GMSNiet beïnvloedGMS versie 9.x en 8.x maken geen gebruik van de kwetsbare Log4j-versie.
Capture Client & Capture Client PortalNiet beïnvloedLog4j2 wordt niet gebruikt in de Capture Client.
CASNiet beïnvloedLog4j2 wordt niet gebruikt in de CAS.
WAFNiet beïnvloedLog4j2 wordt niet gebruikt in de WAF.
Access PointsNiet beïnvloedLog4j2 wordt niet gebruikt in de SonicWall Access Points.
WNMNiet beïnvloedLog4j2 wordt niet gebruikt in de WNM.
Capture Security ApplianceNiet beïnvloedLog4j2 wordt niet gebruikt in de Capture Security-appliance.
WXA

  • – WXA 2000/4000

    – Virtual: WXA 5000

    – Software: WXA 500, WXA 6000

Niet beïnvloedWXA gebruikt de kwetsbare Log4j-versie niet.
SonicCoreNiet beïnvloedLog4j2 wordt niet gebruikt in de SonicCore.
SonicCoreXNiet beïnvloedLog4j2 wordt niet gebruikt in de SonicCoreX.
CSCMANiet beïnvloedCSCMA gebruikt de kwetsbare Log4j-versie niet.
EPRSNiet beïnvloedEPRS 1.x en 2.x maken geen gebruik van de kwetsbare Log4j-versie.
Cloud EdgeNiet beïnvloedCloud Edge maakt geen gebruik van de kwetsbare Log4j-versie.
AnalyticsNiet beïnvloedAnalytics maakt geen gebruik van de kwetsbare Log4j-versie

Tot slot willen we u ook nog attenderen op de Support Notice en de Sonic Alert die beschikbaar zijn gesteld. Op de Support Notice vermeld SonicWall ook welke IPS en WAF signatures er gereleased zijn om partners/klanten te beschermen.

Bekijk ook ons recente artikel over kwetsbaarheden in verschillende SonicWall firewalls en adviezen ervoor →

Technicolor

In het verleden heeft Alcadis ook gateways verkocht van het merk Technicolor. Het is alweer een behoorlijke tijd geleden sinds we deze producten hebben verkocht. Toch hebben we ook bij deze vendor even navraag gedaan naar de status omtrent Log4j. De producten die wij destijds hebben verkocht (Telco Legacy, including SpeedTouch en (Cable Modem non-RDK-B) zijn niet getroffen door de kwetsbaarheid Log4j.

TP-Link
TP-Link is op de hoogte van de kwetsbaarheid in Apache Log4j die wordt gebruikt in de Omada Controller (CVE-2021-44228: Apache Log4j2 <=2.14.1 JNDI-functies die worden gebruikt in de configuratie, logberichten en parameters beschermen niet tegen door een aanvaller bestuurde LDAP en andere JNDI-gerelateerde endpoints).

Producten/services die niet kwetsbaar zijn

  • Alle Wi-Fi Routers
  • Alle Mesh Wi-Fi (Deco)
  • Alle Range Extenders
  • Alle Powerline adapters
  • Alle Mobile Wi-Fi producten
  • Alle SMB Routers, Switches, Omada EAP’s, en Pharos CPE’s
  • Alle VIGI products
  • Alle apps: Tether, Deco, Tapo, Kasa, tpMiFi, Omada
  • Pharos Control

Betrokken Producten/Services

  • Omada Cloud Services
  • Omada Controller (Windows)
  • Omada Controller (Linux)
  • OC200
  • OC300

Beschikbare oplossingen
Momenteel heeft het TP-Link-team de kwetsbaarheid op de cloudplatforms verholpen. Voor lokale Omada-controllers kunt u de onderstaande bètafirmware (zie test agreement) installeren als noodoplossing.

Omada controller V3.2.14

De officiële firmware release voor Omada Controllers

TP-Link laat verder weten:

  1. De hierboven geleverde bètafirmware heeft log4j-versie bijgewerkt naar 2.15.0 om de oorspronkelijke kwetsbaarheid te verhelpen (CVE-2021-44228).
  2. De hierboven geleverde officiële firmware heeft log4j-versie bijgewerkt naar 2.16.0 om de gevolgde kwetsbaarheid te verhelpen (CVE-2021-45046).
  3. Omada-controllers of -services worden NIET getroffen door de laatste kwetsbaarheid (CVE-2021-45105). Maar TP-Link zal binnenkort nog een nieuwe officiële firmware uitbrengen om de log4j-versie te upgraden naar 2.17.0.
  4. De officiële firmware voor Omada Controller v3.2.14 zal ook de log4j-versie upgraden naar 2.17.0, die daarna zal worden vrijgegeven.

Tot slot, als u een oudere Omada-controller gebruikt en u zich afvraagt ​​of u de SDN-controller kunt upgraden, kunt u de veelgestelde vragen op de website van TP-Link raadplegen.

Blog NCC Group

NCC Group is een wereldwijde expert op het gebied van cyberbeveiliging. NCC Group helpt bedrijven hun organisatie, merk, gevoelige informatie en reputatie te beschermen in een wereld met steeds meer digitale dreigingen. De experts van NCC Group hebben op basis van hun eigen research een artikel geschreven over de Log4j. Een aanrader voor wie op zoek is naar meer diepgaande informatie.

We houden de statements en instructies van onze vendoren nauwlettend in de gaten. Mocht er iets veranderen, dan vullen we dit artikel weer aan. Laatste update 7-2-2022 om 08.45 uur. 

Kwetsbaarheid FragAttacks: wat kunt u het beste doen?

wifi-security-banner-alcadis-1

Gisteren deelde Wi-Fi Alliance ® dat er kwetsbaarheden in Wi-Fi-apparaten zijn geïdentificeerd door de onderzoekers. De kwetsbaarheid wordt FragAttacks genoemd en is een zogenaamde Man-In-The-Middle (MITM) kwetsbaarheid die betrekking heeft op de manier waarop internetverkeer tussen Wi-Fi access points en gebruikersapparaten wordt verzonden.

Goed om te weten: er is momenteel géén bewijs dat de kwetsbaarheden kwaadwillig tegen Wi-Fi-gebruikers worden gebruikt. En met een firmware update kunt u eventuele problemen voor zijn.

De kwetsbaarheid FragAttacks vereist dat een potentiële aanvaller zich fysiek binnen het bereik van het Wi-Fi-netwerk (of het gebruikersapparaat) bevindt om er misbruik van te kunnen maken. Dit verkleint de kans op daadwerkelijke uitbuiting of aanval aanzienlijk.

Algemene tips om het risico op kwetsbaarheden te verkleinen

  • Houd uw apparatuur up-to-date: FragAttacks en vele andere potentiële kwetsbaarheden kunnen eenvoudig worden beperkt door routinematige firmwareupdates. Hierbij gaat het niet alleen om de Wi-Fi access points, maar denk ook aan apparatuur als pc’s, mobiele telefoons en tablets.
  • Uw wachtwoord (en) wijzigen: Update en/of wijzig de standaardwachtwoorden van uw apparatuur. Denk bijvoorbeeld aan routers, bewakingscamera’s en IoT-apparatuur.
  • Beveilig uw apparatuur: Houd antivirus- en antimalwaresoftware up-to-date op uw apparatuur.

Statements & instructies Wi-Fi vendoren

CommScope Ruckus

Gebruikers van de Wi-Fi producten van Ruckus kunnen meer informatie op het FragAttacks Central Resource Center. Bovendien heeft Jim Palmer, Sr Staff Solutions Architect, een uitgebreid artikel geschreven met meer informatie en stappen die u kunt volgen.

We houden de statements en instructies van onze vendoren nauwlettend in de gaten. Mocht er iets veranderen, dan vullen we dit artikel weer aan. 

Nieuwe Stellar Wi-Fi 6 access points & interessante security updates

Stellar Wi-Fi 6 access points

Alcatel-Lucent Enterprise (ALE) heeft twee nieuwe  Stellar Wi-Fi 6 access points geïntroduceerd: de AP1301 en AP1311. En daarnaast zijn er nieuwe security features toegevoegd. Lees meer in dit artikel!

Nieuwe Wi-Fi 6 Indoor Access Points

AP1301

AP1301

De AP1301 is het instap Wi-Fi 6 model van het Stellar portfolio.

  • Biedt doorvoersnelheden tot 1,77 Gbps (573 Mbps Mbps op de 2,4 GHz band en 1200 Mbps op de 5 GHz band)
  • 2×2:2 MU-MIMO, concurrent dual-band
  • 2x gigabit ethernetpoorten met PoE
  • 1x USB 2.0 poort
  • Flexibele beheermogelijkheden

Alcatel-Lucent Stellar AP1311

AP1311

De AP1311 wordt door ALE gepositioneerd als het premium Wi-Fi 6 instapmodel, vanwege de vele IoT-mogelijkheden.

  • Biedt doorvoersnelheden tot 1.77 Gbps (573 Mbps op de 2.4 GHz band en 1.200 Mbps op de 5 GHz band)
  • 2×2:2 MU-MIMO, concurrent dual-band
  • Beschikt over drie gigabit ethernetpoorten waarvan twee PoE
  • Uitgerust met Bluetooth Low Energy- en Zigbee-radio’s, een Modbus IIoT-poort (Industrial IoT) en een 1GbE-poort voor bedrade IoT-connectiviteit
  • Beschikt voor een speciale scanradio voor extra beveiliging

Security updates

Dit is er veranderd op het gebied van security:

Web Content Filtering

De nieuwe Wi-Fi 6 access points AP1301 en AP1311 zijn uitgerust met Web Content Filtering. Het blokkeert en schermt de toegang tot ongepaste of onveilige webcontent af. Hiermee bent u verzekerd van:

  • Bescherming tegen online bedreigingen, zoals malware
  • Vermindering van ongepaste of niet-werkgerelateerde inhoud
  • Bescherming van de reputatie van het bedrijf en minimale aansprakelijkheid

OmniVista Cirrus two-factor authenticatie

OmniVista Cirrus heeft two-factor authenticatie geïmplementeerd voor twee gebruikersniveaus

  • Op het wereldwijde OmniVista-gebruikersniveau
  • Op het gebruikersniveau van OmniVista MTS tenant

Dit werkt als volgt:

  1. OmniVista-gebruiker voert zijn login in en wachtwoord (factor 1)
  2. OmniVista-gebruiker krijgt een eenmalige toegangscode via de Google Authenticator-app
  3. OmniVista-gebruiker zijn eenmalige wachtwoord (factor 2) in en heeft vervolgens toegang tot OV Cirrus

Goed om te weten: alléén de OmniVista Cirrus-beheerders kunnen two-factor authenticatie in- / uitschakelen.

Als eerste op de hoogte van de voorraad van de AP1301 en AP1311

Op dit moment is het nog onbekend wanneer de eerste voorraad van de AP1301 en AP1311 zullen arriveren. Stel gemakkelijk een e-mailnotificatie in via onze shop en we brengen u gelijk op de hoogte als de voorraad is gearriveerd in ons magazijn. Dit kan via de knop “Stuur mij een e-mail bij voorraad” zoals te zien in onderstaand screenshot.

Stel hier uw e-mailnotificatie in voor de Stellar AP1301
Stel hier uw e-mailnotificatie in voor de Stellar AP1311 

 

SonicWall publiceert het 2018 Cyber Threat Report

SonicWall heeft zijn jaarlijkse Cyber Threat Report gepubliceerd. Met dit rapport deelt SonicWall belangrijke informatie en opmerkelijke ontwikkelingen over security professionals en cybercriminelen en hoe we hen tegen kunnen gaan.

We staan voor veel uitdagingen met alle actuele cyberaanvallen. Sommige zijn langzaam aan het verdwijnen, andere worden steeds actiever en er komen nieuwe aan. Het SonicWall Cyber Threat Report geeft inzicht in al deze ontwikkelingen en biedt strategisch inzicht in hoe we deze aanvallen tegen kunnen gaan. Hieronder zijn enkele belangrijke ontwikkelingen uit het rapport weergegeven.

Ontwikkelingen in de security-industrie

  • Hoewel het volume van de ransomware-aanvallen in 2017 lager was, waren de aanvallen veel gerichter, unieker en moeilijker te stoppen. De Capture Advanced Threat Protection (ATP) heeft dan ook een piek gezien in de unieke ransomware-varianten in 2017. Denk aan de WannaCry-, NotPetya- en Bad Rabbit-aanvallen.
  • Er is een snelle toename te zien in de HTTPS-sessies in vergelijking met de niet-versleutelde HTTP. HTTPS is van cruciaal belang voor de security van Cloud-omgevingen en websites. Deze verschuiving geeft cybercriminelen echter de mogelijkheid om kwaadwillige playloads te verbergen in gecodeerde sessies.
  • Omdat browser-leveranciers Adobe Flash grotendeels hebben verbannen, worden er geen nieuwe Flash Players meer ontwikkeld. Het SonicWall Cyber Threat Report onthult enkele onverwachte toepassingen die hiervoor in de plaats zijn gekomen.
  • De aanhouding van Malware en exploit kitauteurs hebben voor een aanzienlijke deuk in het aantal succesvolle cyberaanvallen gezorgd. Als reactie hierop worden de cybercriminelen zorgvuldiger. Zo is er in het rapport een duidelijke verschuiving te zien van cybertrends. Denk aan de betaalmethoden, met name Bitcoin, die zij gebruiken.

Ontwikkelingen op het gebied van cybercriminaliteit

  • Ondanks de daling in het aantal ransomware-aanvallen nemen de verschillende varianten van ransomware wel toe.
  • Hoewel het versleutelen van verkeer noodzakelijk is, kan dit ook illegaal of kwaadaardig verkeer camoufleren. Voor de eerste keer geeft het SonicWall Cyber Threat Report real-world data van SonicWall Capture Labs weer. Hierin zijn het volume van de malware en andere exploits die in gecodeerde sessies zijn verborgen ontmaskerd.
  • Cybercriminelen ontwikkelen ‘malware cocktails’ die voornamelijk afhankelijk zijn van reeds bestaande codes met enkele kleinere varianten hierop. Deze kunnen snel en gevaarlijker verspreid worden, terwijl de detectie hiervan wordt vermeden.
  • Cybercriminelen ontwikkelen daarnaast nieuwe technieken in geavanceerde technologische ontwikkelingen, zoals Internet of Things (IoT). Deze cyberaanvallen worden vaak over het hoofd gezien.

Bekijk het SonicWall Cyber Threat Report

Benieuwd naar alle verdere ontwikkelingen op het gebied van security? Download hier het jaarlijkse SonicWall Threat Report →

Is uw e-mail gereed voor GDPR?

Per 25 mei 2018 gaat de Europese Algemene Verordening Gegevensbescherming oftewel General Data Protection Regulation (GDPR) van kracht. De GDPR wetgeving is een set van regulaties bedoeld ter bescherming van persoonsgegevens van in de EU woonachtigen. Daarnaast dwingt deze regelgeving privacyregels af over hoe organisaties informatie mogen verzamelen, opslaan en hoe deze te gebruiken zijn. In hun laatste blog geven experts van SonicWall aan wat ons te wachten staat en waarop gelet moet worden bij deze nieuwe wetgeving.

Volgens het Infowatch global data leakage report, is e-mail het tweede grootste kanaal voor het lekken van data. Belangrijk is daarom uw e-mail security optimaal geregeld te hebben, zeker met het oog op de invoering van de GDPR wetgeving. Het niet kunnen naleven van de GDPR vorderingen draagt zware sancties met zich mee, inclusief boetes van maximaal €20 miljoen of 4% van de omzet wereldwijd.

Kenmerken GDPR

Enkele elementen van GDPR zijn:

  • GDPR is van toepassing op alle organisaties die de persoonsgegevens verwerken van personen binnen de EU, ongeacht de locatie van de organisatie.
  • Inbraakmeldingen worden verplicht en moeten binnen 72 uur na de eerste bewustwording van de overtreding worden doorgegeven.
  • EU-inwoners hebben het recht om een bevestiging te verkrijgen over de vraag of persoonlijke gegevens over hen verwerkt mogen worden, waar en voor welk doeleinde.
  • Het recht om ‘vergeten’ te worden geeft EU inwoners het recht om organisaties hun persoonsgegevens te laten wissen en verdere verspreiding van deze gegevens te beëindigen.

Gevolgen op e-mail security

  • Persoonlijke data wordt geclassificeerd als informatie die persoonlijke e-mailadressen, telefoonnummers etc. bevatten die gewoonlijk gebruikt worden voor marketing doeleinden.
  • Organisaties in o.a. de retail, financiën en gezondheidszorg hebben te maken met extra lagen van complexiteit om te voldoen aan de concurrerende regelgeving.
  • Passende technische maatregelen implementeren in de security infrastructuur zoals e-mail encryptie.

Wat nu?

Het is belangrijk om uw e-mails optimaal te gaan beveiligen. De firewalls van SonicWall beschikken over o.a. e-mail security om zowel uw inkomend als uitgaand e-mailverkeer te beveiligingen tegen bedreigingen of het lekken van belangrijke data zoals persoonsgegevens. Om te voldoen aan GDPR is het belangrijk na te gaan of uw e-mail security de volgende elementen bevat:

  • Een uitgebreide multi-layer aanpak die voldoende bescherming biedt voor inkomende en uitgaande e-mails.
  • Sandboxing en quarantaine van eventuele onbekende e-mailbijlagen om overtredingen te voorkomen.
  • Sterke encryptie en DLP voor naleving wettelijke vereisten.

Voor meer informatie over de juiste bescherming en GDPR kunt u het blogitem van SonicWall bekijken →

SonicWall legt uit: het belang van SSL inspection

Waarom is de nood van SSL inspectie zo hoog? Veel organisaties vragen zich dit af, terwijl er onlangs nog geïnvesteerd is in de upgrade naar een vorm van Deep Packet Inspection. Daarnaast is SSL encryptie niet zonder reden ontwikkeld, maar met het oog op veiligheid. SonicWall legt uit waarom u het zich niet kunt veroorloven om SSL verkeersinspectie te verwaarlozen.

Van SPI naar DPI

Door de jaren heen is Stateful Packet Inspection (SPI) steeds minder relevant geworden. SonicWall was een van de eersten die van SPI overging op Deep Packet Inspection (DPI). DPI focust zich op wat voor data er verstuurd wordt en of dit kwaadaardige content bevat. Met DPI bent u in staat te bepalen welke applicaties er wel en niet door uw firewall komen en bent u beveiligd tegen kwaadaardige content, zowel in de zichtbare als onzichtbare data.

Helaas gooit Secure Socket Layer (SSL) roet in het eten. Deze meest gebruikte encryptietechnologie staat virtueel elke gebruiker toe met een server een versleutelde connectie op te bouwen, zonder daaraan voorafgaand een vertrouwensrelatie op te bouwen. Wat voorheen gebeurde met SPI, gebeurt de laatste jaren ook met DPI; DPI wordt steeds minder effectief aangezien het geen versleuteld verkeer kan inspecteren. Versleuteld verkeer ziet er voor een firewall uit als een willekeurige verzameling bits en bytes waardoor versleutelde communicatie direct door de firewall en langs andere veiligheidsmaatregelen heen kan. De potentiële aanvaller hoeft de kwaadaardige content dus alleen te versleutelen.

DPI-SSL

SonicWall komt met de oplossing in de vorm van DPI-SSL. SonicWall noemt SSL inspection DPI-SSL, wat staat voor Deep Packet Inspection van SSL encrypted traffic. In plaats van dat de gebruiker, zoals een webbrowser, direct een connectie met een webserver maakt, werkt DPI-SSL door een versleutelde verbinding op te zetten tussen de gebruiker en de SonicWall firewall. De SonicWall firewall zorgt vervolgens voor een versleutelde verbinding naar de server, zodat de SonicWall firewall het verkeer daartussen kan inspecteren.

Omdat SonicWall zowel het belang van SSL inspection als de investering in DPI die klanten al gemaakt hebben erkent, biedt SonicWall DPI-SSL licenties gratis aan. En nog meer goed nieuws: het is niet alleen gratis, maar ook al ingebouwd in uw SonicWall Gen6 TZ, NSA of Super Massive applicatie. Lees de volledige blog op SonicWall hun website waar ook hun Executive Brief: The Dark Side of Encryption te downloaden is.

Voor meer informatie over DPI-SSL kunt u contact opnemen met onze salesafdeling via sales@alcadis.nl of via 030 – 65 85 125.

Oxford University biedt veilig en betrouwbaar netwerk aan met SonicWall

Oxford University maakt gebruik van de SonicWall firewalls en netwerk management tools om het verkeer op het netwerk te beheren én om de groeiende gegevens van de studenten en onderzoekers te kunnen beheren.

De SonicWall NSA en Analyzer tools bieden de universiteit meer flexibiliteit in het toewijzen van bandbreedte aan de gebruikers van het netwerk en zorgt voor een betere toegang tot de diensten die de universiteit aanbiedt. Voorheen hadden de studenten en werknemers moeite om online te komen en kregen moeilijk toegang tot de diensten die worden aangeboden. Oxford University is nu in staat om verkeer op het netwerk te analyseren, waardoor iedereen toegang krijgt tot het netwerk. Het netwerk geeft ondersteuning aan 40.000 studenten en wetenschappers.

Veilig en betrouwbaar netwerk

De vraag naar het netwerk is de afgelopen jaren erg gegroeid, mede als gevolg van de toename van de online media. De studenten maken ook veel meer gebruik van apparaten die toegang willen tot het netwerk. Gemiddeld gebruiken studenten 3 apparaten op het netwerk. Om iedereen te voorzien van een veilig netwerk zijn de producten van SonicWall ingezet.

De keuze voor SonicWall

De producten van SonicWall bieden de universiteit een veilig en betrouwbaar netwerk. Zo kunnen alle studenten en medewerkers veilig gegevens met elkaar uitwisselen en gebruik maken van de diensten die de universiteit aanbiedt. De firewalls van SonicWall bieden een goede beveiliging op het netwerk waardoor er geen virussen en hedendaagse virtuele bedreigingen op het netwerk ontstaan.