Angreb på energisektoren udnyttede sårbarhed i firewall

Af Eskil Sørensen, 14/11/23

Endnu en gang viser et cyberangreb, hvorfor overblik og opdateringer er vigtige.

I disse dage bringer en lang række medier omtaler af et angreb på kritisk dansk infrastruktur, der fandt sted i maj 2023. Omtalen skyldes en ny rapport, som SektorCERT her i november har udgivet om selve angrebet, der medførte, at angribere i løbet af få dage fik adgang til 22 selskabers infrastruktur. De ramte selskaber driver dele af den danske energiinfrastruktur, og hvis angrebet ikke var blevet afværget, kunne det have berørt 100.000 kunder, fremgår det Dr.dks omtale af sagen.

Zyxel var sårbar

Ifølge SektorCERTs rapport om sagen var det en Zyxel firewall, der muliggjorde angrebet. Zyxel firewall anvendes bredt blandt danske virksomheder og organisationer og udgør således en mulig vej ind i en organisation eller sektor, hvis der findes sårbarheder i systemerne.

I dette tilfælde var det netop sårbarheder i Zyxel, der blev udnyttet til angrebet. Hvad mere kritisk var, at sårbarhederne godt nok var patchet fra producentens side, men de angrebne enheder havde ikke fået installeret opdateringerne. Ifølge rapporten troede mange af SektorCERTs medlemmer, at firewallen havde den nyeste software, fordi den var relativt ny, mens andre fejlagtigt antog, at deres leverandør stod for opdateringerne. Andre årsager var:

  • Bevidst fravalg af opdateringerne, da det havde en omkostning fra leverandørens side at installere dem (selve softwaren er gratis).
  • Manglende viden om, at de havde de pågældende enheder i deres netværk. Enten fordi en leverandør havde installeret dem uden at fortælle om det eller fordi man ikke havde et overblik over de enheder, der var forbundet til ens netværk.

SektorCERT havde udsendt advarsler om sårbarhederne, hvilket DKCERT i øvrigt også havde gjort, da de blev kendt i maj. I første omgang (primo maj) var det CVE-2023-28771 med en CVSS-score på 9,8 og senere i maj CVE-2023-33009 og CVE-2023-33010, der også havde score på 9,8.

SektorCERT har udgivet en rapport med analyse af hændelsen, tidslinje over angrebet og konklusion med gennemgang af de af SektorCERTs 25 generelle anbefalinger, der er relevante i denne kontekst. Rapport en er tilgængelig på SektorCERTs hjemmeside.

Links:

https://sektorcert.dk/wp-content/uploads/2023/11/SektorCERT-Angrebet-mod-dansk-kritisk-infrastruktur-TLP-CLEAR.pdf

https://www.dr.dk/nyheder/viden/teknologi/rapport-energisektoren-ramt-af-det-hidtil-mest-omfangsrige-cyberangreb

Keywords: 
Sektorcert