Cyberaanval op Rode Kruis vond plaats door ongepatchte server

Door een bug in de netwerktool kon de authenticatie omzeild worden. De makers van die tool hadden al een patch uitgebracht, maar het Internationale Rode Kruis had die nog niet laten uitrollen op zijn servers. De hulporganisatie laat dat weten via zijn website.  

Bij de inbraak op 9 november kregen hackers toegang tot gegevens van 515.000 personen. Er werd geen losgeld gevraagd en er kwam geen ransomware aan te pas. Het ging dus om een klassieke hack, die pas op 18 januari ontdekt werd. Het Rode Kruis kan wel niet bevestigen of er ook effectief gegevens gestolen zijn. 

De kwetsbaarheid in het systeem heeft een naam: CVE-2021-405439. Door die bug kan er via een REST-api de authenticatie omzeild worden op servers waarop ManageEngine van Zoho draait. Zo konden de aanvallers adminrechten krijgen op de servers en viel hun aanwezigheid niet op. Wellicht heeft het daardoor zolang geduurd voordat de hack opgemerkt werd. 

Rode Kruis: “Uitgaan van datadiefstal” 

Bovendien zouden de indringers mogelijk webshells hebben kunnen opzetten, waarmee ze lateraal door het netwerk konden navigeren en registersleutels en active directory-bestanden konden inkijken, aldus het Rode Kruis. De organisatie bevestigt wel niet of dat ook effectief gebeurde. Ze kan ook niet met zekerheid zeggen of er gegevens zijn buitgemaakt (er zijn geen logs ter bevestiging), maar wil daar wel vanuit gaan.  

Wie achter de aanval zat, is niet duidelijk. Er worden ook geen vermoedelijke daders vermeld. De gekende kwetsbaarheid in de servers kon in het verleden wel gelinkt worden aan staatshackers. Daarbij duikt dan de piste op dat de aanval uit Chinese hoek zou kunnen komen.