CISA en de FBI waarschuwen voor een campagne om cloudcredentials te stelen. Cybercriminelen proberen met de Androxgh0st-malware een botnet te creëren dat credentials steelt van clouddiensten. Vervolgens worden deze gegevens ingezet om kwaadaardige payloads te leveren.
Androxgh0st staat bekend als een “SMTP-cracker”, dat zich richt op kwetsbaarheden in oude protocollen. Zo wordt open-source PHP-framework Laravel geëxploiteerd om configuratiedata van onder andere AWS op te sporen.
Eind 2022 maakte Lacework Labs al bekend dat deze soort malware op jacht was naar inloggegevens voor clouddiensten. Het nieuwe botnet kan volgens de Amerikaanse autoriteiten gebruikt worden om potentiële slachtoffers te identificeren en te exploiteren in bedrijfsnetwerken.
Oude problemen, oude oplossingen
De kwetsbaarheden die het botnet exploiteert, zijn allesbehalve nieuw. Zo wordt CVE-2017-9841 gebruikt om op afstand PHP-code uit te voeren via PHPUnit. Ondertussen maakt CVE-2021-41773 het mogelijk om via ongepatchte Apache-servers toegang tot beschermde bestanden te krijgen.
Het voornaamste advies van de joint advisory is dan ook: houd alle besturingssystemen, software en firmware up-to-date. Apache-servers dienen in ieder geval niet meer versie 2.4.49 of 2.4.50 te draaien. Ook sporen de Amerikaanse autoriteiten gebruikers aan om toegang vanuit onbekende URL’s te blokkeren tenzij dit specifiek nodig is.
Daarnaast dienen Laravel-applicaties niet in debug- of testmodus te staan. Ook moeten servers gescand worden op niet herkende PHP-bestanden en dient men te kijken naar uitgaande GET-verzoeken die wellicht naar externe filehosting-sites leiden.
Patchbeheer
Androxgh0st is dus relatief eenvoudig te vermijden. Tegelijkertijd blijven ongepatchte kwetsbaarheden voor cybercriminelen resultaten opleveren, dat laat zien dat patchbeheer nog altijd niet vlekkeloos verloopt. Ook wijst het Amerikaanse advies erop dat toegang tot bedrijfsdata veelal te eenvoudig is.
Het adopteren van een zero-trust architectuur, waarbij toegang tot gegevens aanzienlijk wordt teruggebracht, zou veel leed kunnen voorkomen. Zelfs als credentials dan gestolen worden, blijft toegang tot data beperkt. Gelukkig is zero-trust al volop in trek in het bedrijfsleven, bleek uit onderzoek van Okta.
Lees ook: Zero Trust werkt het beste als alle onderdelen van een IT-omgeving eraan meedoen
21 uur geleden
