Nederlandse SimpleHelp RMM-servers bevatten actief misbruikt lek
In dit artikel:
Wereldwijd staan nog altijd honderden SimpleHelp RMM-servers open voor misbruik van een kritieke kwetsbaarheid; in Nederland gaat het om achttien systemen. The Shadowserver Foundation ziet dat veel beheerservers nog niet zijn bijgewerkt, terwijl de fout al op 12 juni openbaar werd gemaakt en SimpleHelp een week eerder al een patch had uitgebracht.
De kwetsbaarheid zit in SimpleHelp, een tool die vooral door managed serviceproviders wordt gebruikt om computers en andere systemen van klanten op afstand te beheren. Via een fout in de OpenID Connect-inlogcontrole kan een aanvaller zonder geldige inloggegevens een nep-token laten accepteren en zo als ‘Technician’ inloggen. Daarmee krijgt de aanvaller toegang tot beheerde apparaten en kan hij scripts uitvoeren, beheeracties doen en mogelijk bredere netwerken raken.
Volgens cybersecuritybedrijf Blackpoint wordt het lek al actief misbruikt. Dat maakt het extra gevaarlijk: één gehackte RMM-server kan niet alleen de beheeromgeving zelf ondermijnen, maar ook de organisaties die eraan gekoppeld zijn. Ondanks de waarschuwingen draait wereldwijd nog steeds een groot aantal servers zonder de beveiligingsupdate, met de meeste in de Verenigde Staten en tientallen verspreid over andere landen, waaronder Nederland.
Vandaag Inside Oranje: Johan Derksen over Vandaag Inside Oranje-bargast: 'Hij vindt zichzelf een Hollywood-ster!'