Western Digital heeft een beveiligingsupdate uitgebracht voor My Cloud-apparaten, na de ontdekking van een ernstige kwetsbaarheid (CVE-2024-22170). Deze fout heeft een CVSS-score van 9.2 en kan door aanvallers worden misbruikt om willekeurige code uit te voeren op de getroffen apparaten. Dit kan leiden tot ongeautoriseerde toegang en mogelijke datalekken. De kwetsbaarheid bevindt zich in de Dynamic DNS-client van de apparaten en kan worden uitgebuit door middel van een Man-in-the-Middle (MitM)-aanval. Hierbij kunnen aanvallers kwaadaardige code injecteren via DNS-updateverzoeken, wat resulteert in een buffer overflow.

De getroffen apparaten omvatten verschillende modellen van de My Cloud-serie. Western Digital adviseert gebruikers dringend om hun apparaten zo snel mogelijk bij te werken naar My Cloud OS 5 Firmware versie 5.29.102 om misbruik te voorkomen. Deze update zorgt ervoor dat de kwetsbaarheid wordt opgelost en de apparaten weer veilig kunnen worden gebruikt.

Er is een ernstige beveiligingskwetsbaarheid (CVE-2024-8456) ontdekt in verschillende modellen van PLANET Technology switches. Deze kwetsbaarheid, met een hoge CVSS-score van 9,8, kan leiden tot ongeautoriseerde toegang en controle over de switches door het ontbreken van adequate authenticatie. Andere kwetsbaarheden zijn hardcoded wachtwoorden, zwak geëncodeerde wachtwoorden en onveilige hashing-algoritmes, wat het risico op wachtwoorddiefstal en netwerkonderbrekingen vergroot.

De getroffen modellen zijn onder andere de GS-4210-24PL4C, GS-4210-24P2S en IGS-5225-4UP1T2S. Voor de meeste van deze modellen heeft PLANET Technology firmware-updates uitgebracht om de kwetsbaarheden aan te pakken. Gebruikers van verouderde apparaten, zoals de IGS-5225-4UP1T2S, wordt geadviseerd om deze te vervangen omdat er geen updates meer beschikbaar zijn. Netwerkbeheerders worden dringend verzocht de updates zo snel mogelijk te installeren, hun netwerkactiviteit te monitoren en hun beveiligingsbeleid te herzien om verdere risico's te beperken.

Een ernstige kwetsbaarheid, genaamd KartLANPwn (CVE-2024-45200), is ontdekt in Mario Kart 8 Deluxe, waarmee miljoenen spelers risico lopen tijdens multiplayer LAN-sessies. Deze fout, ontdekt door een beveiligingsonderzoeker, maakt misbruik van de manier waarop het spel gegevens verwerkt via Nintendo's Pia P2P-netwerkbibliotheek. Hackers kunnen een speciaal geprepareerd pakket sturen dat geheugenbeschadiging veroorzaakt, wat hen in staat stelt om op afstand code uit te voeren en mogelijk volledige controle over de spelconsole te krijgen.

De kwetsbaarheid betreft een buffer-overflow in het LAN-spelproces, waarbij een aanvaller een 'browse-reply'-pakket manipuleert. Nintendo heeft snel gereageerd met een patch (v3.0.3) die op 11 september 2024 werd vrijgegeven, behalve in China, waar de update op 27 september 2024 volgde. Spelers wordt sterk aangeraden hun game bij te werken om zichzelf te beschermen tegen deze exploit.

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft vier nieuwe kwetsbaarheden toegevoegd aan de catalogus van bekend misbruikte kwetsbaarheden (KEV). Deze kwetsbaarheden vormen een groot risico, vooral voor organisaties en overheidsinstanties. Een van de ernstigste problemen is CVE-2023-25280, een kwetsbaarheid in D-Link-routers, die hackers volledige controle over het apparaat kan geven. Daarnaast is er CVE-2020-15415, die DrayTek Vigor-routers treft en aanvallers in staat stelt op afstand code uit te voeren. Ook CVE-2021-4043, een minder kritieke kwetsbaarheid in Motion Spell GPAC, kan leiden tot een denial-of-service (DoS)-aanval. Ten slotte treft CVE-2019-0344 SAP Commerce Cloud, waarmee kwaadwillenden willekeurige code kunnen uitvoeren en gevoelige gegevens kunnen compromitteren. CISA heeft federale instanties verplicht om de nodige patches uiterlijk op 21 oktober 2024 te installeren om deze bedreigingen het hoofd te bieden.

Een recent ontdekte kwetsbaarheid, CVE-2024-36435, vormt een groot risico voor diverse Supermicro producten. Deze kwetsbaarheid, gevonden door Alexander Tereshkin van NVIDIA en geanalyseerd door het Binarly Research Team, maakt het mogelijk voor aanvallers om ongeauthenticeerd toegang te krijgen tot de Baseboard Management Controller (BMC) van Supermicro-servers. De fout bevindt zich in de “GetValue”-functie van de BMC-firmware, waar een buffer overflow optreedt doordat de grootte van ingevoerde data niet correct wordt gecontroleerd. Hierdoor kan een aanvaller speciaal samengestelde gegevens versturen naar de BMC-webinterface en zo op afstand code uitvoeren.

De kwetsbaarheid is extra gevaarlijk omdat deze gecombineerd kan worden met andere bekende zwaktes, waardoor aanvallers langdurige toegang tot systemen kunnen verkrijgen. Supermicro heeft de ernst van de situatie erkend en werkt aan oplossingen voor de getroffen producten. Bedrijven die gebruikmaken van Supermicro-hardware moeten hun systemen zo snel mogelijk updaten om deze kwetsbaarheid te verhelpen.

Een ernstige kwetsbaarheid, aangeduid als CVE-2024-47070, is ontdekt in de populaire Identity Provider en Single Sign-On oplossing authentik. Deze fout, met een CVSS-score van 9,1, stelt aanvallers in staat om wachtwoordauthenticatie te omzeilen door misbruik te maken van het X-Forwarded-For HTTP-header. Dit is vooral een risico in omgevingen waar authentik zonder reverse proxy toegankelijk is, of waar proxy-instellingen niet correct zijn geconfigureerd.

De fout ontstaat wanneer een aanvaller een onleesbare waarde in deze header invoert, waardoor kritieke wachtwoordcontroles worden overgeslagen. Gebruikers met de versies 2024.8.2 en 2024.6.4 lopen risico en wordt aangeraden om direct te upgraden naar de gepatchte versies 2024.8.3 of 2024.6.5. Als alternatief kan men tijdelijk de reverse proxy configureren om correcte IP-adressen in te stellen, hoewel patchen de meest veilige oplossing blijft om ongeautoriseerde toegang te voorkomen. 1

Een ernstige kwetsbaarheid (CVE-2024-9194) is ontdekt in Octopus Server, een populaire tool voor software-deployment. Deze kwetsbaarheid maakt de server vatbaar voor SQL-injectie-aanvallen, waardoor ongeautoriseerde toegang tot gevoelige databases mogelijk is. Hierdoor kunnen aanvallers vertrouwelijke projectgegevens en configuraties inzien of manipuleren. De fout zit in de REST API van Octopus Server, waar onvoldoende parameterisatie leidt tot deze kwetsbaarheid.

Alle versies van Octopus Server in de 2024.1.x, 2024.2.x en 2024.3.x takken, vóór bepaalde releases, zijn getroffen. Octopus Deploy adviseert dringend om direct te updaten naar de nieuwste versies om deze kritieke kwetsbaarheid te verhelpen. Voor Octopus Cloud-gebruikers is de update al automatisch doorgevoerd. Hoewel er op dit moment nog geen meldingen zijn van misbruik, benadrukken beveiligingsexperts het belang van een snelle update, aangezien er geen andere effectieve oplossingen beschikbaar zijn om het risico te beperken.

In het populaire low-code platform Scriptcase zijn drie ernstige beveiligingsproblemen ontdekt, waarvan CVE-2024-8940 het meest kritiek is. Deze kwetsbaarheid, met een CVSS-score van 10, stelt aanvallers in staat om willekeurige bestanden te uploaden, wat kan leiden tot volledige systeemovername via remote code execution. De andere kwetsbaarheden omvatten padtraversatie (CVE-2024-8941) en cross-site scripting (CVE-2024-8942), die respectievelijk toegang tot gevoelige bestanden en diefstal van gebruikersgegevens mogelijk maken. Scriptcase is veelgebruikt voor het ontwikkelen van PHP-webapplicaties en biedt ontwikkelaars een grafische interface om snel code te genereren. Door deze kwetsbaarheden worden gebruikers van Scriptcase aangeraden om direct hun software te updaten naar de nieuwste versie, waarin deze problemen zijn verholpen. Dit benadrukt het belang van regelmatige updates en beveiligingspatches, zelfs bij low-code platforms.

Een ernstige kwetsbaarheid, CVE-2024-45519, in het populaire e-mailplatform Zimbra is ontdekt, die aanvallers in staat stelt volledige controle over getroffen systemen te verkrijgen zonder authenticatie. Deze kwetsbaarheid, gevonden in de postjournal-service van Zimbra, maakt het mogelijk om willekeurige commando's uit te voeren op de server door onveilige verwerking van gebruikersinvoer. Dit kan leiden tot datadiefstal, systeemcompromittering en laterale beweging binnen netwerken.

De fout is inmiddels op grote schaal uitgebuit door cybercriminelen, wat de noodzaak van snelle actie benadrukt. Beheerders van Zimbra-systemen wordt geadviseerd onmiddellijk te patchen om verdere schade te voorkomen. Voor systemen waar de postjournal-service niet nodig is, wordt aanbevolen deze uit te schakelen. Daarnaast is het belangrijk om netwerktoegang te beperken tot vertrouwde IP-adressen.

Ondertussen is er een Proof of Concept-exploit gepubliceerd, wat het nog eenvoudiger maakt voor aanvallers om kwetsbare systemen aan te vallen, waardoor snelle beveiligingsmaatregelen cruciaal zijn.

DrayTek heeft beveiligingsupdates uitgebracht voor meerdere routermodellen om 14 kwetsbaarheden te verhelpen, waaronder een gevaarlijke fout die een maximale CVSS-score van 10 kreeg. Deze kwetsbaarheden, ontdekt door Forescout Research, treffen zowel huidige als end-of-life modellen. In totaal zijn ongeveer 785.000 routers mogelijk kwetsbaar, waarvan meer dan 700.000 apparaten een webinterface hebben die publiek toegankelijk is via internet, wat een groot risico vormt.

De meest kritieke kwetsbaarheden omvatten een buffer overflow in de "GetCGI()" functie, een command injection in de OS-communicatie en zwakke punten in de PRNG-implementatie van TLS-verbindingen. Deze problemen kunnen leiden tot remote code execution (RCE), denial of service (DoS) en informatielekken. Gebruikers wordt geadviseerd om de nieuwste firmware te installeren en functies zoals externe toegang en SSL VPN via port 443 uit te schakelen als dat niet nodig is, om verdere risico's te beperken. 1

De Amerikaanse cybersecurityorganisatie CISA waarschuwt voor twee ernstige kwetsbaarheden in de ONS-S8 Aggregation Switches van Optigo Networks, die wereldwijd in vitale infrastructuren worden gebruikt. Deze kwetsbaarheden maken het mogelijk om authenticatie te omzeilen en op afstand kwaadaardige code uit te voeren. De eerste kwetsbaarheid, CVE-2024-41925, is een probleem met bestandsvalidatie, waardoor een aanvaller ongeautoriseerde toegang kan krijgen en willekeurige code kan uitvoeren. De tweede kwetsbaarheid, CVE-2024-45367, betreft een zwakke authenticatiecontrole, wat aanvallers in staat stelt om toegang te krijgen tot de beheerinterface van de switch en gevoelige gegevens te manipuleren. Aangezien er nog geen updates beschikbaar zijn om de problemen op te lossen, wordt gebruikers aangeraden om aanbevolen beveiligingsmaatregelen te implementeren, zoals het isoleren van netwerkverkeer en het gebruik van VPN's. CISA benadrukt dat, hoewel de kwetsbaarheden nog niet actief worden misbruikt, het risico zeer groot is. 1

Recent onderzoek door Adrian Tiron onthulde een ernstige kwetsbaarheid in het Vesta Control Panel, een populaire interface voor Linux serverbeheer. De kwetsbaarheid maakt het mogelijk voor aanvallers om het beheerdersaccount over te nemen door gebruik te maken van verminderde entropie in de Bash $RANDOM variabele. Deze variabele, gebruikt bij het genereren van wachtwoord-reset tokens, is niet cryptografisch veilig, waardoor brute-force aanvallen mogelijk worden.

Aanvallers kunnen de tijdstempel, waarop de seed gebaseerd is, raden en binnen een beperkt bereik de benodigde tokens brute-forcen. Dit stelt hen in staat de beheerderswachtwoorden te resetten en volledige controle over de Vesta omgeving te krijgen. Het onderzoek toonde aan dat het aantal brute-force pogingen drastisch kan worden verlaagd, waardoor de aanval praktisch uitvoerbaar is. Het gebruik van tools zoals BashRandomCracker en Turbo Intruder maakt dit proces nog efficiënter, waardoor snelle en grootschalige aanvallen mogelijk worden. 1

CISA waarschuwt voor een kritieke kwetsbaarheid (CVE-2024-29824) in Ivanti Endpoint Manager (EPM), die actief wordt misbruikt. Deze kwetsbaarheid, met een CVSS-score van 9,6, treft versies van Ivanti EPM tot en met 2022 SU5. De fout zit in de RecordGoodApp-methode, die onvoldoende controle uitvoert op gebruikersinvoer, waardoor aanvallers SQL-injecties kunnen uitvoeren. Dit stelt hen in staat om willekeurige code uit te voeren en mogelijk volledige controle over systemen te krijgen.

Beveiligingsonderzoekers hebben een proof-of-concept (PoC) exploit gepubliceerd, wat het risico op misbruik verhoogt. Tekenen van exploitatie zijn onder andere ongebruikelijke SQL-logactiviteit, zoals het gebruik van de xp_cmdshell-opdracht. CISA heeft de kwetsbaarheid toegevoegd aan de lijst van bekende geëxploiteerde kwetsbaarheden en dringt erop aan dat organisaties onmiddellijk een patch toepassen. Overheidsinstanties hebben tot 23 oktober 2024 om hun systemen te beveiligen. Gezien de ernst van deze kwetsbaarheid, is snelle actie cruciaal om verdere aanvallen te voorkomen.

DrayTek heeft 14 kwetsbaarheden in zijn routers aangepakt, waaronder een zeer kritieke buffer overflow (CVE-2024-41592) met een CVSS-score van 10.0. Deze fout in de GetCGI()-functie van de webinterface kan leiden tot denial-of-service (DoS) of remote code execution (RCE), waardoor aanvallers volledige controle over het apparaat kunnen krijgen. Een andere ernstige kwetsbaarheid (CVE-2024-41585) maakt het mogelijk om via een commando-injectie de besturingssystemen van het apparaat te compromitteren. De overige problemen variëren van hoge tot middelmatige risico’s, zoals cross-site scripting (XSS) en verschillende buffer overflows.

Ongeveer 704.000 routers wereldwijd, met name in de Verenigde Staten en Nederland, zijn vatbaar voor aanvallen via de webinterface. DrayTek heeft inmiddels patches uitgebracht voor alle kwetsbaarheden, zelfs voor apparaten die end-of-life zijn. Gebruikers wordt aangeraden de firmware onmiddellijk te updaten en externe toegang tot de router uit te schakelen als deze niet nodig is.

Een ernstige kwetsbaarheid (CVE-2024-47374) is ontdekt in de LiteSpeed Cache plugin voor WordPress, die wereldwijd op meer dan 6 miljoen websites wordt gebruikt. Deze kwetsbaarheid betreft een onbevestigde opgeslagen cross-site scripting (XSS) aanval, waardoor aanvallers zonder inloggegevens schadelijke code kunnen injecteren in de beheerpagina’s van de website. Hierdoor kunnen gevoelige gegevens gestolen worden en kunnen aanvallers zelfs volledige controle over de website verkrijgen.

De kwetsbaarheid ontstaat door gebrekkige validatie van invoer bij bepaalde functies die CSS-optimalisatie regelen. Twee specifieke instellingen binnen de plugin, "CSS Combine" en "Generate UCSS", maken de plugin kwetsbaar als ze zijn ingeschakeld. De fout is in versie 6.5.1 van de plugin verholpen.

Gebruikers van de LiteSpeed Cache plugin wordt dringend geadviseerd om onmiddellijk te updaten naar de nieuwste versie om hun website te beschermen tegen mogelijke aanvallen.

Onderzoekers van Akamai hebben een nieuwe aanvalsmethode ontdekt die kwetsbaarheden in het Common Unix Printing System (CUPS) uitbuit. Alledaagse apparaten, zoals printers, kunnen hierdoor worden ingezet voor grootschalige Distributed Denial-of-Service (DDoS)-aanvallen. Dit wordt mogelijk gemaakt door vier recent onthulde kwetsbaarheden (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177), waarbij aanvallers op afstand code kunnen uitvoeren en grote hoeveelheden schadelijk verkeer kunnen genereren.

Deze aanvallen vereisen minimale inspanning; een enkele pakket kan een apparaat dat aan het internet is blootgesteld, overbelasten en een doelwit treffen met versterkt netwerkverkeer. Wereldwijd zijn meer dan 198.000 apparaten vatbaar voor deze exploit, waarvan 58.000 direct toegankelijk zijn. Het probleem wordt verergerd door het gebruik van verouderde CUPS-versies, wat deze apparaten kwetsbaar maakt voor misbruik.

Om dit te voorkomen, wordt aanbevolen om CUPS bij te werken, firewallregels aan te passen en DDoS-beveiliging in te schakelen.

Cisco heeft een beveiligingsadvies uitgebracht over een ernstige kwetsbaarheid (CVE-2024-20432) in de Nexus Dashboard Fabric Controller (NDFC). Deze kwetsbaarheid, met een CVSS-score van 9.9, stelt een geauthenticeerde aanvaller met beperkte rechten in staat om willekeurige opdrachten uit te voeren op beheerde apparaten met netwerkbeheerrechten. De fout zit in de REST API en de webinterface van de NDFC en wordt veroorzaakt door onjuiste gebruikersautorisatie en onvoldoende validatie van ingevoerde opdrachten.

Een aanvaller met geldige inloggegevens kan deze kwetsbaarheid misbruiken door speciaal aangepaste opdrachten te sturen via de API of webinterface, waardoor de volledige netwerkstructuur in gevaar kan worden gebracht. Cisco heeft updates uitgebracht om deze kwetsbaarheid te verhelpen, en gebruikers wordt geadviseerd om zo snel mogelijk actie te ondernemen. Er zijn geen tijdelijke oplossingen beschikbaar, wat het des te urgenter maakt om de updates te installeren. Tot op heden zijn er geen meldingen van misbruik in de praktijk.

Een recent ontdekte zero-day kwetsbaarheid (CVE-2024-38200) in Microsoft Office stelt gebruikers bloot aan het risico van ongeautoriseerde toegang tot gevoelige gegevens. Deze fout treft meerdere versies van Office, waaronder Office 2016, 2019 en Microsoft 365 Apps. De kwetsbaarheid maakt het mogelijk voor aanvallers om NTLMv2-hashes te onderscheppen via HTTP- en SMB-protocollen, waarmee ze toegang kunnen krijgen tot netwerkbronnen.

De aanval begint wanneer gebruikers worden misleid om op een schadelijke link te klikken die hen naar een geïnfecteerd Office-bestand leidt. Zodra het bestand wordt geopend, kunnen aanvallers de NTLMv2-hashes onderscheppen en gebruiken voor verdere aanvallen, zoals NTLM-relayaanvallen. Dit maakt het mogelijk om zich voor te doen als een legitieme gebruiker binnen een netwerk.

Microsoft heeft inmiddels een patch uitgebracht, maar gebruikers wordt geadviseerd om aanvullende beveiligingsmaatregelen te nemen, zoals het beperken van uitgaande NTLM-verkeer en het blokkeren van bepaalde netwerkpoorten.

In de afgelopen twee jaar heeft het Vulnerability Disclosure Policy (VDP) Platform van de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) meer dan 12.000 kwetsbaarheden ontvangen. Hiervan werden meer dan 2.400 unieke en geldige kwetsbaarheden ontdekt, waarvan bijna 2.000 inmiddels zijn verholpen door overheidsinstanties. Het platform werkt samen met 51 overheidsprogramma’s en heeft zo’n 3.200 beveiligingsonderzoekers betrokken, waarvan enkele toppresteerders werden uitgelicht.

In 2023 werden er 307 kritieke en ernstige kwetsbaarheden geïdentificeerd, waarvan 229 werden beloond via bug bounties, met een totaalbedrag van $335.000. CISA benadrukt dat de kosten van deze beloningen in schril contrast staan met de potentiële kosten van datalekken. Volgens CISA bespaarden deelnemende overheidsinstanties naar schatting $4,45 miljoen aan mogelijke herstelkosten.

De meest voorkomende kwetsbaarheden waren cross-site scripting (XSS), met 371 gedetecteerde gevallen. Het aantal inzendingen op het platform steeg in 2023 met 132%. Download rapport

Google heeft een nieuwe stabiele versie van Chrome uitgebracht, 129.0.6668.89/.90, voor Windows, Mac en Linux. Deze update, die in de komende dagen wordt uitgerold, verhelpt vier grote beveiligingsproblemen. Drie van deze kwetsbaarheden werden ontdekt door externe onderzoekers en variëren in ernst, waaronder CVE-2024-7025, een integer overflow probleem in Chrome’s lay-outcomponenten. Dit lek kan mogelijk worden misbruikt om willekeurige code uit te voeren of een denial-of-service-aanval te veroorzaken. Ook zijn er twee andere kwetsbaarheden gerepareerd, waaronder CVE-2024-9369, een fout in de data-validatie van Chrome's IPC-bibliotheek, en CVE-2024-9370, een fout in de V8 JavaScript-engine die misbruikt kan worden voor het manipuleren van webinhoud of uitvoeren van code. Gebruikers worden aangeraden hun browser direct bij te werken om beschermd te blijven tegen mogelijke aanvallen. Updates worden automatisch geïnstalleerd, maar handmatig controleren via de instellingen is ook mogelijk.

Recent zijn er meerdere ernstige beveiligingslekken ontdekt in Jenkins, een veelgebruikt platform voor automatisering. Deze kwetsbaarheden kunnen aanvallers in staat stellen gevoelige gegevens te stelen, beveiligingsmaatregelen te omzeilen en volledige controle over Jenkins-servers te verkrijgen. Een van de meest zorgwekkende kwetsbaarheden, CVE-2024-47803, maakt het mogelijk om vertrouwelijke gegevens, zoals wachtwoorden en API-sleutels, via foutmeldingen te onthullen. Andere kwetsbaarheden (CVE-2024-47804 t/m CVE-2024-47807) stellen aanvallers in staat om beveiligingsbeperkingen te omzeilen en mogelijk toegang te krijgen tot versleutelde gegevens of administratorrechten te verkrijgen door misbruik te maken van een zwakte in de OpenID Connect Authenticatie-plugin. Gebruikers van Jenkins wordt met klem aangeraden om hun systemen direct bij te werken naar de nieuwste versies om deze kwetsbaarheden te dichten en hun servers te beveiligen.

Een ernstige kwetsbaarheid (CVE-2024-5102) in Avast Antivirus voor Windows kan hackers in staat stellen om bestanden te verwijderen of kwaadaardige code uit te voeren met systeemrechten (NT AUTHORITY\SYSTEM). De fout bevindt zich in de "Herstel"-functie van de antivirussoftware en is aanwezig in versies vóór 24.2. Door misbruik te maken van symbolische links (symlinks) kunnen aanvallers het herstelproces manipuleren, waardoor ze willekeurige bestanden kunnen verwijderen of hun eigen code kunnen uitvoeren.

De aanval maakt gebruik van een raceconditie waarbij een aanvaller snel bestanden moet recreëren en Windows moet omleiden naar kwaadaardige bestanden. Hoewel dit een complexe techniek is, kan succesvolle exploitatie leiden tot ernstige gevolgen, zoals het verwijderen van systeemkritieke bestanden en het installeren van malware.

Avast heeft de kwetsbaarheid verholpen in versie 24.2 en gebruikers wordt sterk aangeraden hun antivirussoftware direct bij te werken om deze beveiligingslekken te dichten.

Een nieuwe kwetsbaarheid, aangeduid als CVE-2024-46658, is ontdekt in de Syrotech SY-GOPON-8OLT-L3 router (versie 1.6.0_240629). Deze kwetsbaarheid stelt kwaadwillenden in staat om via de beheerdersinterface opdrachten uit te voeren die normaal gesproken niet toegestaan zijn. De kwetsbaarheid maakt misbruik van de mogelijkheid om een specifieke ping-opdracht te manipuleren, waardoor extra code kan worden uitgevoerd. Dit gebeurt door het onderscheppen van een netwerkverzoek en het toevoegen van een nieuwe regel aan de opdrachtparameter, waardoor aanvallers willekeurige opdrachten kunnen uitvoeren. Dit maakt het systeem kwetsbaar voor command injection aanvallen. Om de exploitatie te voorkomen, wordt aanbevolen om de firmware te updaten zodra een patch beschikbaar is. Dit onderstreept opnieuw het belang van regelmatige updates en controle op kwetsbaarheden in netwerkapparatuur.

Dit soort zwakheden kan leiden tot ernstige beveiligingsrisico’s als ze niet tijdig worden verholpen.

In een recent onderzoek hebben Duitse cyberbeveiligingsonderzoekers 53 kwetsbaarheden ontdekt in het Resource Public Key Infrastructure (RPKI)-protocol, wat serieuze vragen oproept over de stabiliteit en veiligheid van dit systeem. RPKI is ontwikkeld om internetverkeer veiliger te maken door BGP-routes te verifiëren en zo kwaadaardige routes te voorkomen. Echter, de gevonden kwetsbaarheden, waaronder Denial of Service (DoS), authenticatiebypass en cache poisoning, tonen aan dat het protocol verre van waterdicht is.

Hoewel veel van deze problemen snel zijn verholpen, blijft het feit dat zoveel kwetsbaarheden in korte tijd zijn ontdekt, zorgwekkend. Dit maakt RPKI een aantrekkelijk doelwit voor cybercriminelen en kan de betrouwbaarheid van internetverkeer in gevaar brengen. Het onderzoek benadrukt ook de moeilijkheden bij het updaten van RPKI-software, wat de risico’s vergroot. Desondanks blijft de adoptie van RPKI een belangrijke stap in het versterken van internetbeveiliging, mits het protocol voortdurend wordt verbeterd. pdf

Een grote cyberaanval deze zomer heeft meer dan 4.275 Adobe Commerce- en Magento-webwinkels getroffen, waaronder bekende merken zoals Ray-Ban en Cisco. Hackers maakten gebruik van de CosmicSting-kwetsbaarheid (CVE-2024-34102) om gevoelige klantgegevens te stelen door kwaadaardige code te injecteren in betaalpagina's. Zeven verschillende hacker-groepen hebben de kwetsbaarheid benut om cryptografische sleutels van Magento te stelen, waarmee ze ongeautoriseerde toegang kregen tot de winkels en betalingen onderschepten. Ondanks dat Adobe deze kwetsbaarheid in juli als kritiek bestempelde en instructies gaf om verouderde cryptografische sleutels te verwijderen, bleven veel winkels kwetsbaar. Dit resulteerde in een “cyberoorlog” waarbij meerdere groepen streden om de controle over dezelfde gehackte winkels. Cybersecurity-experts adviseren dringend om systemen te updaten en oude sleutels te herroepen om verdere aanvallen te voorkomen. Ondanks deze aanbevelingen wordt verwacht dat het aantal getroffen winkels de komende maanden zal toenemen.

Een ernstige beveiligingsfout (CVE-2024-47561) is ontdekt in de Apache Avro Java SDK. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om willekeurige code uit te voeren op systemen die getroffen zijn. Het probleem betreft alle versies van de Apache Avro Java SDK vóór versie 1.11.4. Apache Avro wordt veel gebruikt in dataverwerkingssystemen en streaming applicaties vanwege zijn efficiënte dataserialisatie. De kwetsbaarheid ontstaat door een fout in het verwerken van schema's, waardoor een aanvaller kwaadaardige Avro-data kan sturen die door een kwetsbaar systeem wordt verwerkt. Dit kan leiden tot volledige systeemcompromittering, datalekken en zelfs aanvallen die de beschikbaarheid van systemen verstoren. De ontwikkelaars van Apache Avro hebben de fout opgelost in versies 1.11.4 en 1.12.0. Gebruikers wordt sterk aangeraden om onmiddellijk te updaten naar een van deze veilige versies om risico's te vermijden.

Een ernstige kwetsbaarheid, CVE-2024-9313, is ontdekt in Authd, een authenticatiedaemon die wordt gebruikt in Ubuntu-systemen. Deze fout maakt het mogelijk voor kwaadwillenden om andere gebruikers te imiteren op een aangetast systeem, wat kan leiden tot ongeautoriseerde toegang tot gevoelige gegevens en bronnen. Authd zorgt voor veilige identiteit- en toegangsbeheer op zowel desktops als servers en integreert met verschillende identiteitsproviders. De kwetsbaarheid komt voort uit het ontbreken van adequate controles bij het gebruik van tools zoals su, sudo en ssh, waardoor een aanvaller toegang kan krijgen tot accounts van andere gebruikers.

Gelukkig is er al een oplossing beschikbaar in versie 0.3.5 van Authd, die voorkomt dat gebruikers worden omgeschakeld tenzij de juiste verificatie is ingesteld. Beheerders wordt geadviseerd om snel te updaten en extra beveiligingsmaatregelen te treffen, zoals het verscherpen van toegangscontroles en het monitoren van verdachte activiteiten.

Er is een ernstige beveiligingskwetsbaarheid ontdekt in Foxit Reader (versie 2024.1.0.23997), aangeduid als CVE-2024-28888. Deze kwetsbaarheid, met een CVSS-score van 8.8, stelt aanvallers in staat om willekeurige code uit te voeren op het systeem van een slachtoffer. De kwetsbaarheid ontstaat door een fout in de manier waarop Foxit Reader omgaat met checkbox-objecten in PDF-documenten. Via speciaal ontworpen JavaScript in een kwaadaardige PDF kan een "use-after-free" situatie optreden, wat leidt tot geheugencorruptie. Dit kan door aanvallers worden misbruikt om controle over het systeem te verkrijgen.

Om de aanval uit te voeren, moet een gebruiker worden misleid om een schadelijke PDF te openen, bijvoorbeeld via phishing of misleidende downloads. Als de browserplugin van Foxit Reader actief is, kan de aanval zelfs plaatsvinden door alleen een kwaadaardige website te bezoeken. Foxit heeft inmiddels een update uitgebracht om deze kwetsbaarheid te verhelpen. Gebruikers wordt aangeraden om direct te updaten en voorzichtig te zijn met het openen van verdachte PDF-bestanden.

Apple heeft een belangrijke beveiligingsupdate uitgebracht voor iOS en iPadOS. Deze update verhelpt twee kwetsbaarheden, waarvan één een potentieel risico vormde voor gebruikerswachtwoorden. Het eerste probleem (CVE-2024-44204) zat in de Passwords-functie van Apple, waar een logische fout ervoor zorgde dat wachtwoorden door de VoiceOver-functie konden worden voorgelezen, zonder dat gebruikers hiervan op de hoogte waren. Apple heeft dit probleem opgelost door betere validatie toe te passen.

De tweede kwetsbaarheid (CVE-2024-44207) betrof een fout in de Media Session-functie, waardoor het mogelijk was om enkele seconden aan audioberichten in Messages op te nemen voordat het microfoon-icoon zichtbaar werd. Beide problemen zijn inmiddels verholpen met de release van iOS en iPadOS versie 18.0.1. Apple adviseert gebruikers dringend om hun apparaten te updaten om beschermd te blijven tegen deze beveiligingslekken. 1

In Nederland zijn ongeveer 2500 systemen die een kwetsbare versie van het Common Unix Printing System (CUPS) draaien, waardoor ze vanaf het internet toegankelijk zijn. Deze systemen lopen risico omdat meerdere kwetsbaarheden in CUPS het mogelijk maken voor aanvallers om op afstand ongeautoriseerde code uit te voeren op Linux-systemen. CUPS wordt voornamelijk gebruikt om systemen als printserver te laten functioneren. De Shadowserver Foundation, een organisatie die zich bezighoudt met het opsporen van kwetsbare systemen, heeft deze gegevens gepubliceerd op basis van externe scans. Wereldwijd werden meer dan 107.000 kwetsbare systemen gevonden, met een groot deel daarvan in de Verenigde Staten en Duitsland. De stichting roept beheerders op om updates te installeren of om het CUPS-systeem te verwijderen als het niet wordt gebruikt. Zo kan voorkomen worden dat kwaadwillenden misbruik maken van deze kwetsbaarheden. 1

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft twee ernstige kwetsbaarheden (CVE-2024-41988 en CVE-2024-41987) ontdekt in TEM Opera Plus FM-zenders, die veel gebruikt worden in kritieke infrastructuur zoals telecommunicatie en energievoorziening. Deze kwetsbaarheden stellen aanvallers in staat om zonder toestemming toegang te krijgen tot het systeem en mogelijk volledige controle over de zender te verkrijgen.

CVE-2024-41988, met een CVSS-score van 9,8, maakt het mogelijk voor aanvallers om zonder authenticatie bestanden te uploaden en de systeemsoftware te overschrijven, waardoor zij willekeurige code kunnen uitvoeren. CVE-2024-41987, met een CVSS-score van 9,6, maakt gebruik van een Cross-Site Request Forgery (CSRF) techniek, waardoor aanvallers acties met beheerdersrechten kunnen uitvoeren.

CISA roept gebruikers op om de netwerkomgeving te beveiligen en firewalls en VPN's te gebruiken om het risico op misbruik te beperken. TEM heeft nog niet gereageerd op verzoeken om deze kwetsbaarheden te verhelpen.

Een ernstige beveiligingslek, aangeduid als CVE-2024-9441, is ontdekt in de Linear eMerge e3-serie toegangscontrolesystemen. Deze kwetsbaarheid, met een CVSS-score van 9.8, stelt aanvallers in staat om op afstand willekeurige opdrachten uit te voeren via de functie voor wachtwoordherstel. Dit wordt mogelijk gemaakt doordat het systeem de invoer van de login_id-parameter niet goed controleert, wat leidt tot een OS-commando-injectie. De kwetsbaarheid stelt aanvallers in staat om zonder authenticatie roottoegang te verkrijgen, wat het risico op misbruik vergroot.

Hoewel het probleem vijf maanden geleden is gemeld, heeft de fabrikant nog geen oplossing of tijdelijke maatregel uitgebracht. De systemen die door deze fout getroffen worden, worden vaak ingezet in beveiligingskritische omgevingen, waardoor de impact aanzienlijk is. Tot er een patch beschikbaar komt, blijven gebruikers van deze systemen kwetsbaar voor aanvallen die leiden tot volledige systeemcompromittering, het stelen van gevoelige gegevens of verdere aanvallen op het netwerk.

Okta, een toonaangevend bedrijf op het gebied van identiteits- en toegangsbeheer, heeft onlangs een beveiligingslek verholpen dat aanvallers met geldige inloggegevens in staat stelde om kritieke beveiligingsmaatregelen te omzeilen. Deze kwetsbaarheid, ontdekt op 27 september 2024, betrof specifieke configuraties binnen Okta Classic en werd veroorzaakt door een update uit juli. Het probleem stelde aanvallers in staat om bepaalde beveiligingscondities, zoals netwerkzones en apparaatrestricties, te omzeilen.

Hoewel het misbruiken van de kwetsbaarheid lastig was, waren er drie vereisten: de aanvaller moest beschikken over geldige inloggegevens, de organisatie moest applicatie-specifieke inlogbeleid gebruiken, en de aanval moest worden uitgevoerd via een "onbekend" apparaat.

Okta heeft het probleem snel verholpen op 4 oktober 2024 en roept klanten op om hun logs te controleren op verdachte activiteiten, vooral tussen 17 juli en 4 oktober 2024. Okta biedt gedetailleerde stappen voor verdere analyse en beveelt aan om afwijkend gebruikersgedrag te onderzoeken. 1

Twee ernstige kwetsbaarheden, CVE-2024-47789 en CVE-2024-47790, zijn ontdekt in de D3D Security IP Camera D8801. Deze kwetsbaarheden stellen kwaadwillenden in staat om onbevoegde toegang te krijgen tot gevoelige informatie en live videostreams van de camera's. De eerste kwetsbaarheid heeft betrekking op een zwak authenticatiesysteem, waarbij inloggegevens gemakkelijk onderschept en ontcijferd kunnen worden. De tweede kwetsbaarheid treft het Real-Time Streaming Protocol (RTSP) van de camera’s, waardoor aanvallers de live videostream kunnen bekijken zonder toestemming.

De camera's hebben hun End of Life-status bereikt in januari 2024, wat betekent dat er geen beveiligingsupdates of patches meer beschikbaar komen. Gebruikers worden dringend geadviseerd om deze producten niet meer te gebruiken en te vervangen door ondersteunde alternatieven om de risico's op inbreuken te beperken.

Onderzoekers Harsh Jaiswal en Rahul Maini hebben een kritieke kwetsbaarheid ontdekt in de Ruby-SAML en OmniAuth-SAML libraries, die GitLab’s authenticatiesysteem beïnvloeden. Deze fout (CVE-2024-45409) maakt het mogelijk om de SAML-authenticatie te omzeilen, waardoor aanvallers ongeoorloofde toegang kunnen verkrijgen. Het probleem ligt in de verificatie van de digitale handtekening die SAML-asserties beveiligt. Aanvallers kunnen deze verificatie manipuleren door een vervalste "DigestValue" in het samlp:extensions-element in te voegen. Hierdoor worden essentiële beveiligingscontroles overgeslagen.

Hoewel GitLab inmiddels een patch heeft uitgebracht om dit probleem te verhelpen, benadrukken de onderzoekers het belang van regelmatige beveiligingsupdates. Organisaties die gebruikmaken van Ruby-SAML en OmniAuth-SAML worden geadviseerd om hun libraries bij te werken om te voorkomen dat ze kwetsbaar blijven voor dit soort aanvallen.

Deze kwetsbaarheid toont aan dat zelfs veelgebruikte beveiligingsbibliotheken kwetsbaar kunnen zijn voor misbruik als ze niet correct worden geïmplementeerd en onderhouden. 1

Beveiligingsonderzoeker mbog14 heeft details en een proof-of-concept gepubliceerd voor een lokale privilege-escalatie kwetsbaarheid in iTunes (CVE-2024-44193), die aanvallers in staat stelt om systeemrechten te verkrijgen op Windows-computers. Het probleem doet zich voor in versie 12.13.2.3 van iTunes en betreft de AppleMobileDeviceService.exe, waarbij gebruikers met beperkte rechten schrijfrechten hebben op een belangrijke directory. Door een kwetsbaarheid in het verwijderen van bestanden binnen deze directory, kunnen kwaadwillenden via een NTFS-junctie en een Windows MSI rollback-truc bestanden overschrijven op kritieke locaties zoals HID.DLL, wat uiteindelijk resulteert in het verkrijgen van een SYSTEM-shell.

Apple heeft het probleem inmiddels verholpen in een update van september 2024. Gebruikers wordt dringend geadviseerd om hun iTunes-software bij te werken naar versie 12.13.2.3 of hoger om misbruik van deze kwetsbaarheid te voorkomen. Dit incident benadrukt het belang van zorgvuldig beheer van gebruikersrechten en systeemmappen.

Een ernstige kwetsbaarheid, CVE-2024-47191, is ontdekt in de PAM-module van het OATH-Toolkit, die gebruikt wordt voor éénmalige wachtwoordauthenticatie (OTP). Deze kwetsbaarheid stelt systemen bloot aan root-exploits, wat betekent dat een ongeautoriseerde gebruiker root-toegang kan verkrijgen. De fout is geïdentificeerd door de SUSE Security Team en wordt veroorzaakt door onveilige bestandshandelingen in de home-directory van gebruikers. Hierdoor kan een aanvaller bijvoorbeeld een symbolische link (symlink) maken om kritieke bestanden zoals /etc/shadow te overschrijven en zo rootrechten te verkrijgen.

Het probleem werd veroorzaakt door een foutieve implementatie van paduitbreidingen zoals ${HOME}, waardoor de authenticatiemodule onveilig bestanden aanroept. SUSE heeft inmiddels een patch uitgebracht die deze kwetsbaarheid oplost. De patch zorgt ervoor dat bestandsoperaties veiliger worden uitgevoerd, en privileges worden verlaagd naar het juiste niveau. Ook is het vergrendelingsmechanisme herzien om verdere problemen te voorkomen. De kwetsbaarheid benadrukt het belang van snelle patching om systemen te beschermen tegen deze kritieke exploit.

Redis, een populair open-source systeem voor databeheer, heeft gebruikers dringend opgeroepen hun installaties bij te werken na de ontdekking van meerdere beveiligingslekken. De meest ernstige kwetsbaarheid, aangeduid als CVE-2024-31449, heeft een CVSS-score van 8.8 en stelt aanvallers in staat om op afstand willekeurige code uit te voeren via een fout in de Lua-scripting engine. Door een speciaal ontworpen script in te dienen, kan een buffer overflow worden veroorzaakt, waardoor de aanvaller volledige controle kan krijgen over de server.

Naast deze ernstige kwetsbaarheid zijn er ook twee Denial of Service (DoS)-problemen opgelost: CVE-2024-31227 en CVE-2024-31228, met respectievelijke scores van 4.5 en 6.5. Beide kunnen leiden tot het crashen van Redis-servers. Gebruikers worden sterk aangeraden om hun systemen zo snel mogelijk bij te werken naar versies 7.4.1, 7.2.6, of 6.2.16 om deze beveiligingslekken te dichten en verdere risico's te vermijden.

Recent heeft Cisco een beveiligingswaarschuwing afgegeven voor verschillende kwetsbaarheden in hun Small Business VPN-routers, zoals de RV340, RV340W, RV345 en RV345P. Deze kwetsbaarheden, aangeduid als CVE-2024-20393 en CVE-2024-20470, stellen kleine bedrijven bloot aan aanzienlijke risico's. De eerste kwetsbaarheid maakt privilege-escalatie mogelijk, waardoor een aanvaller toegang kan krijgen tot beheerdersrechten op de router. De tweede kwetsbaarheid stelt een aanvaller met bestaande beheerdersrechten in staat om willekeurige code uit te voeren op het besturingssysteem van de router.

Helaas zijn er geen software-updates of werkbare oplossingen beschikbaar, aangezien deze routers het einde van hun software-onderhoud hebben bereikt. Cisco adviseert bedrijven om de configuratie van hun routers te controleren en de afstandsbeheeroptie uit te schakelen om het risico te beperken. Het wordt aanbevolen om over te stappen naar nieuwere apparaten die nog wel beveiligingsupdates ontvangen, om de veiligheid van het netwerk te waarborgen.

MediaTek heeft in oktober 2024 een beveiligingsbulletin uitgebracht waarin kritieke kwetsbaarheden worden aangepakt in chipsets die worden gebruikt in smartphones, tablets en IoT-apparaten. Deze kwetsbaarheden kunnen leiden tot ernstige aanvallen zoals remote code execution (RCE) en privilege escalation, waarbij aanvallers zonder interactie van de gebruiker controle kunnen krijgen over apparaten. Belangrijke kwetsbaarheden, zoals CVE-2024-20090 en CVE-2024-20100, hebben betrekking op respectievelijk de videodecoder en de wlan-driver van getroffen chipsets, en kunnen leiden tot systeemovername of het blootstellen van gevoelige informatie.

Onder de getroffen chipsets vallen populaire modellen zoals de MT6761 en MT6893, die vaak in Android-apparaten en IoT-platformen worden gebruikt. Gebruikers worden geadviseerd om de door fabrikanten uitgebrachte beveiligingsupdates zo snel mogelijk te installeren om deze risico’s te mitigeren. Deze kwetsbaarheden benadrukken het belang van tijdige beveiligingspatches voor zowel consumenten als bedrijven die afhankelijk zijn van IoT-technologie.

Cacti, een populair open-source netwerkmonitoringtool, heeft een dringende beveiligingsupdate uitgebracht (versie 1.2.28) om meerdere kwetsbaarheden te verhelpen. De belangrijkste hiervan is een Remote Code Execution (RCE) fout (CVE-2024-43363), die aanvallers in staat stelt om willekeurige code op de server uit te voeren door misbruik te maken van logbestanden. Deze kwetsbaarheid heeft een CVSS-score van 7.2 en maakt gebruik van een techniek genaamd “log poisoning”. Dit kan een volledige overname van de server mogelijk maken.

Naast de RCE-kwetsbaarheid zijn ook drie Cross-Site Scripting (XSS) fouten aangepakt (CVE-2024-43365, CVE-2024-43364 en CVE-2024-43362). Deze fouten stellen aanvallers in staat om schadelijke scripts in webpagina's te injecteren, wat kan leiden tot gestolen gebruikersgegevens en gekaapte sessies.

Gebruikers worden dringend geadviseerd om hun Cacti-installaties bij te werken naar versie 1.2.28 en hun systemen te controleren op mogelijke tekenen van misbruik.

Qualcomm heeft in oktober 2024 belangrijke updates uitgebracht om verschillende ernstige beveiligingsproblemen op te lossen in hun chipsets, zoals Snapdragon-platformen en FastConnect-oplossingen. Eén van de kwetsbaarheden (CVE-2024-43047) werd door Google aangemerkt als mogelijk actief misbruikt, met gerichte aanvallen op specifieke gebruikers. Deze kwetsbaarheid treft de FASTRPC-driver en kan grote schade aanrichten als deze niet wordt gepatcht.

Een andere ernstige kwetsbaarheid (CVE-2024-33066) in de WLAN Resource Manager, met een CVSS-score van 9.8, kan aanvallers in staat stellen op afstand schadelijke code uit te voeren, wat kan leiden tot volledige overname van een apparaat. Ook werden kwetsbaarheden ontdekt in het Hardware Abstraction Layer-systeem en open-source softwarecomponenten.

Qualcomm adviseert fabrikanten dringend om de patches direct te implementeren, en gebruikers worden aangemoedigd om hun apparaten te updaten naar de nieuwste firmware om zich te beschermen tegen deze risico's.

Beveiligingsonderzoeker Marcus Hutchins heeft een open-source tool uitgebracht om kwetsbaarheden in het Common Unix Printing System (CUPS) te detecteren. Deze tool helpt systeembeheerders bij het identificeren van systemen die vatbaar zijn voor de onlangs ontdekte CVE-2024-47176-kwetsbaarheid, die kan leiden tot remote code execution (RCE).

CUPS wordt veel gebruikt in UNIX-achtige systemen, waaronder Linux en macOS, en beheert netwerkafdrukken. De kwetsbaarheden maken het mogelijk voor aanvallers om printers toe te voegen of te herconfigureren en schadelijke code op kwetsbare systemen uit te voeren. De CVE-2024-47176-kwetsbaarheid is vooral ernstig omdat deze de cups-browsed-dienst betreft, die openstaat voor externe netwerken en geen authenticatie vereist voor inkomende verzoeken. Dit vergroot het risico op uitbuiting aanzienlijk.

Hutchins’ tool, cups_scanner.py, automatiseert het scannen van netwerken op kwetsbare CUPS-instances, wat essentieel is voor het snel opsporen en patchen van deze kwetsbaarheden om mogelijke aanvallen te voorkomen. 1

Onderzoeker Peter Gabaldon heeft details vrijgegeven over twee ernstige beveiligingslekken in TeamViewer (CVE-2024-7479 en CVE-2024-7481). Deze kwetsbaarheden stellen aanvallers in staat om lokale gebruikersrechten te escaleren naar het hoogste systeemniveau, waardoor ze willekeurige kernel drivers kunnen laden. Dit komt door gebrekkige cryptografische controle tijdens de installatie van VPN- en printerdrivers via de TeamViewer-service. De kwetsbaarheden, met een CVSS-score van 8.8, maken het mogelijk om systeembeveiliging te omzeilen door gebruik te maken van niet-geverifieerde handtekeningen van drivers. 1, 2

Gabaldon demonstreerde hoe aanvallers een legitieme TeamViewer-client kunnen nabootsen om een kwaadaardige driver te installeren. Hij heeft een proof-of-concept exploit gepubliceerd waarmee beveiligingsonderzoekers deze kwetsbaarheden kunnen testen. TeamViewer heeft inmiddels versie 15.58.4 uitgebracht om deze problemen op te lossen, en gebruikers wordt aangeraden hun software direct te updaten om beveiligingsrisico’s te voorkomen.

Recent onderzoek door beveiligingsonderzoeker Amit Geynis heeft ernstige kwetsbaarheden in moderne voertuigen blootgelegd. Deze zogenaamde zero-day-exploits, die onbekend zijn bij softwareontwikkelaars, richten zich op de elektronische controlesystemen (ECU's) in auto's. Eén exploit maakt het mogelijk om via de CAN-bus van een voertuig kwaadaardige code uit te voeren, wat kan leiden tot de overname van essentiële systemen zoals remmen, sturen en versnellen. Daarnaast werden zwakke plekken gevonden in communicatieprotocollen zoals IPsec en SOME/IP-SD, waardoor aanvallers volledige controle over het voertuig kunnen krijgen. Ook de cryptografische beveiliging van afstandsbedieningen bleek vatbaar voor aanvallen, waardoor onbevoegde toegang mogelijk is. Een andere kwetsbaarheid in de telematica van voertuigen maakt het zelfs mogelijk om via een sms-code toegang te krijgen tot de systemen van het voertuig. Deze ontdekkingen onderstrepen de dringende noodzaak om de beveiliging van moderne voertuigen op alle niveaus te versterken, van communicatieprotocollen tot cryptografie. pdf Tales from a Penetration Testing Team

Onderzoekers hebben onlangs details en een proof-of-concept (PoC) exploit gepubliceerd voor een kwetsbaarheid in de Linux-kernel, aangeduid als CVE-2023-52447. Deze fout, met een CVSS-score van 7.8, treft Linux-kernels van versie 5.8 tot 6.6 en kan worden gebruikt om containers te ontvluchten, wat ernstige gevolgen kan hebben voor systemen die afhankelijk zijn van containerisatie voor beveiliging.

De kwetsbaarheid zit in het BPF-subsysteem, waarbij arraymap pointers onjuist worden beheerd. Dit leidt tot een use-after-free situatie, die kan worden uitgebuit door een racecondition tussen twee threads te veroorzaken. De fout maakt het mogelijk om via zorgvuldig geplande stappen kernstructuren te manipuleren en een container te verlaten.

Een PoC-exploit is gepubliceerd, wat beveiligingsteams helpt de kwetsbaarheid beter te begrijpen en te patchen. Dit verhoogt echter ook de urgentie om getroffen systemen te updaten, omdat kwaadwillenden deze exploit kunnen misbruiken. Gelukkig is er inmiddels een patch beschikbaar in de nieuwste kernelversie.

Een recent ontdekte kwetsbaarheid in Android maakt het voor aanvallers mogelijk om op afstand code uit te voeren op kwetsbare toestellen. Dit probleem, aangeduid als CVE-2024-40673, treft Android versies 12, 12L, 13 en 14 en vereist geen aanvullende toegangsrechten voor misbruik. Google heeft de ernst van dit lek als 'high' ingeschaald en heeft in oktober beveiligingsupdates uitgebracht om het probleem te verhelpen. Deze updates maken deel uit van de patchcyclus van oktober en bevatten in totaal 28 beveiligingsoplossingen.

Androidfabrikanten zijn al een maand eerder op de hoogte gebracht, zodat ze de patches konden integreren in hun eigen updates. Echter, niet alle Androidtoestellen ontvangen automatisch deze updates, vooral oudere modellen of toestellen die niet meer ondersteund worden door de fabrikant. Gebruikers van Android worden aangeraden hun apparaten zo snel mogelijk te updaten om het risico op misbruik te verminderen. 1

In de WordPress-plugin LatePoint, gebruikt voor het beheren van online reserveringen op duizenden websites, zijn twee kritieke kwetsbaarheden ontdekt. Deze lekken stellen aanvallers in staat om zonder authenticatie het adminwachtwoord te wijzigen via een SQL-injectie, waarmee ze volledige controle over de website kunnen krijgen. Een voorwaarde voor misbruik is dat de optie "Use WordPress users as customers" actief is, wat standaard niet het geval is.

Daarnaast kan een aanvaller, indien het gebruikers-ID bekend is, inloggen als elke gebruiker, inclusief beheerders. Ook hiervoor moet de eerder genoemde optie ingeschakeld zijn. Beide kwetsbaarheden kregen een kritieke score van 9.8 op een schaal van 10.

De ontwikkelaars van LatePoint hebben op 24 september 2024 een beveiligingsupdate uitgebracht om deze problemen te verhelpen. Websitebeheerders worden dringend aangeraden de update zo snel mogelijk te installeren om misbruik te voorkomen, aangezien de details van de kwetsbaarheden inmiddels openbaar zijn gemaakt. 1

CVE-2024-8911
CVE-2024-8943

SAP heeft in oktober 2024 zes nieuwe beveiligingsnotities en zes updates uitgebracht voor eerdere patches. Een van de belangrijkste problemen die is aangepakt, betreft een ontbrekende authenticatiecontrole in de SAP BusinessObjects Business Intelligence Platform (CVE-2024-41730). Deze kwetsbaarheid heeft een hoge CVSS-score van 9.8 en kan ongeautoriseerde toegang tot gevoelige gegevens mogelijk maken, met het risico dat bedrijfsprocessen worden verstoord.

Daarnaast zijn er meerdere kwetsbaarheden verholpen in SAP Enterprise Project Connection, met een CVSS-score van 8.0, wat de vertrouwelijkheid en integriteit van projectdata kan compromitteren. Ook werd een gevaarlijke kwetsbaarheid in de bestandsbewerkingen van BusinessObjects (CVE-2024-37179) aangepakt, die aanvallers toegang tot systeembestanden kan geven.

SAP adviseert haar klanten dringend om de nieuwste updates toe te passen om bescherming te bieden tegen mogelijke cyberaanvallen. Andere patches richten zich op informatielekken, cross-site scripting en prototype-vervuiling, die allemaal verschillende SAP-systemen treffen.

Een nieuwe kwetsbaarheid (CVE-2024-41798) in de Siemens SENTRON PAC3200 energiemeters stelt apparaten bloot aan eenvoudige aanvallen. Deze meters, die veel gebruikt worden voor energiebeheer, maken gebruik van een zwakke viercijferige PIN voor toegang tot de beheerinterface via het Modbus TCP-protocol. Deze beveiliging is onvoldoende, vooral tegen brute-force aanvallen waarbij aanvallers verschillende PIN-combinaties proberen totdat ze toegang krijgen. Omdat de Modbus-communicatie niet is versleuteld, kunnen kwaadwillenden eenvoudig netwerkverkeer onderscheppen en de PIN-code bemachtigen zonder zelfs maar te hoeven raden. Siemens heeft het probleem erkend, maar er is momenteel geen oplossing in de vorm van een patch beschikbaar. Gebruikers worden geadviseerd de PIN alleen te zien als een preventie tegen operationele fouten, niet als een daadwerkelijke beveiligingsmaatregel tegen aanvallen.

Ivanti heeft onlangs beveiligingsupdates uitgebracht voor hun Cloud Services Appliance (CSA) om meerdere kwetsbaarheden aan te pakken, waaronder enkele die actief worden misbruikt. Deze kwetsbaarheden, die invloed hebben op CSA-versies 5.0.1 en ouder, omvatten onder andere een SQL-injectie (CVE-2024-9379) en een OS-command injectie (CVE-2024-9380), beide met ernstige gevolgen zoals het uitvoeren van willekeurige code. Daarnaast is er een pad-omzeilingskwetsbaarheid (CVE-2024-9381) die toegang tot systeembeperkingen mogelijk maakt.

Hoewel deze kwetsbaarheden CSA 5.0 treffen, benadrukt Ivanti dat er nog geen gevallen van misbruik in versie 5.0 zijn geconstateerd. Het bedrijf raadt gebruikers dringend aan om bij te werken naar versie 5.0.2, waarin alle kwetsbaarheden zijn verholpen. Gebruikers van de verouderde versie 4.6 worden extra gewaarschuwd, aangezien deze versie niet langer beveiligingsupdates ontvangt en dus extra kwetsbaar is voor aanvallen.

Een ernstige kwetsbaarheid in Ivanti Connect Secure, een VPN-oplossing, maakt het mogelijk voor aanvallers om code uit te voeren op de VPN-server. De kwetsbaarheid, aangeduid als CVE-2024-37404, bevindt zich in het adminportaal van de software en vereist dat een aanvaller toegang heeft tot de inloggegevens van een beheerder. Ondanks deze voorwaarde is de kwetsbaarheid beoordeeld met een hoge ernstscore van 9.1 op een schaal van 10. Dit benadrukt de mogelijke impact op de veiligheid van organisaties die deze software gebruiken. Ivanti heeft inmiddels een beveiligingsupdate uitgebracht om het probleem te verhelpen en adviseert organisaties dringend om deze update zo snel mogelijk te installeren. Verder wordt aanbevolen om de beheerdersinterface alleen toegankelijk te maken via een geïsoleerd intern netwerk. Ivanti Connect Secure, eerder bekend als Pulse Secure, is in het verleden vaker doelwit geweest van cyberaanvallen.

Siemens heeft een belangrijke beveiligingsupdate uitgebracht voor zijn SINEC Security Monitor, een modulair softwarepakket dat wordt gebruikt voor passieve en continue monitoring van industriële systemen. In versies vóór 4.9.0 zijn vier ernstige kwetsbaarheden (CVE-2024-47553, CVE-2024-47562, CVE-2024-47563, en CVE-2024-47565) ontdekt, die het mogelijk maken voor aanvallers om onder andere willekeurige code uit te voeren en root-toegang te krijgen tot de systemen. De meest kritieke van deze kwetsbaarheden, CVE-2024-47553, stelt aanvallers in staat om met minimale rechten gevaarlijke acties uit te voeren door onjuiste validatie van gebruikersinvoer. Siemens adviseert gebruikers met klem om hun software bij te werken naar versie 4.9.0 of later om deze beveiligingslekken te verhelpen. Door deze update te installeren, kunnen bedrijven de risico's van potentiële aanvallen aanzienlijk beperken en de integriteit van hun industriële systemen beter waarborgen.

Onderzoekers hebben ernstige kwetsbaarheden ontdekt in de implementaties van het Manufacturing Message Specification (MMS) protocol, die worden gebruikt in industriële systemen. Deze kwetsbaarheden kunnen door aanvallers worden misbruikt voor het uitvoeren van kwaadaardige code, het laten crashen van apparaten of het veroorzaken van denial-of-service (DoS)-aanvallen. De problemen zijn gevonden in de MMS-libraries van MZ Automation en Triangle MicroWorks en werden in 2022 verholpen na melding. De kwetsbaarheden, waaronder buffer overflows en null pointer dereferences, hebben hoge CVSS-scores gekregen, wat de ernst ervan benadrukt. Een van de geïdentificeerde risico's is de mogelijkheid om kritieke systemen op afstand te compromitteren, wat desastreuze gevolgen kan hebben voor industriële omgevingen zoals energiecentrales of fabrieken. Siemens heeft ook updates uitgebracht voor getroffen apparaten, zoals de SIPROTEC 5 IED, om dergelijke kwetsbaarheden aan te pakken. Het onderzoek onderstreept de noodzaak voor fabrikanten om verouderde protocollen te beveiligen en te vervangen. 1

Mozilla heeft een kritieke zero-day kwetsbaarheid in Firefox onthuld, aangeduid als CVE-2024-9680. Deze kwetsbaarheid, veroorzaakt door een "use-after-free" fout in de animatietijdlijnen van de browser, stelt aanvallers in staat om kwaadaardige code uit te voeren. Het beveiligingslek is ontdekt door Damien Schaeffer van ESET en wordt al actief misbruikt in cyberaanvallen. Mozilla heeft gebruikers dringend opgeroepen om hun browser direct bij te werken naar de nieuwste versies om verdere exploitatie te voorkomen.

De kwetsbaarheid beïnvloedt zowel reguliere als ESR-versies van Firefox, waarbij de noodzakelijke patches al beschikbaar zijn. Gebruikers kunnen controleren of ze de nieuwste versie hebben door naar de "Over Firefox" optie te gaan in hun instellingen, wat een automatische update zal activeren indien nodig. Het snel installeren van deze update is cruciaal om de risico’s van deze aanval te minimaliseren. 1

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft drie nieuwe kwetsbaarheden toegevoegd aan hun "Known Exploited Vulnerabilities" (KEV) catalogus. Deze kwetsbaarheden worden actief uitgebuit in de praktijk, wat betekent dat organisaties onmiddellijk hun systemen moeten patchen om misbruik te voorkomen. De kwetsbaarheden betreffen producten van Fortinet en Ivanti, die veel gebruikt worden in bedrijfsnetwerken.

Een van de meest kritieke kwetsbaarheden, CVE-2024-23113, betreft een fout in Fortinet-producten die leidt tot "remote code execution" (RCE). Dit kan aanvallers toegang geven tot gevoelige informatie of verdere aanvallen binnen het netwerk mogelijk maken. Ivanti Cloud Services Appliance (CSA) bevat daarnaast kwetsbaarheden voor SQL-injectie en OS-commando-injectie, wat ook ernstige schade kan veroorzaken. 1

CISA dringt erop aan dat organisaties deze kwetsbaarheden voor eind oktober patchen om grootschalige schade en inbreuken te voorkomen, vooral binnen vitale infrastructuur.

Palo Alto Networks heeft klanten gewaarschuwd voor ernstige kwetsbaarheden in de PAN-OS firewalls, waarvoor al publieke exploitcodes beschikbaar zijn. Deze kwetsbaarheden bevinden zich in het Expedition-hulpprogramma, dat wordt gebruikt om configuraties te migreren tussen verschillende netwerkapparaten. De fouten kunnen door aanvallers worden misbruikt om toegang te krijgen tot gevoelige informatie zoals gebruikersnamen en wachtwoorden, waarmee ze beheeraccounts van firewalls kunnen overnemen. De kwetsbaarheden omvatten onder meer command injection, SQL-injectie en cross-site scripting (XSS).

Een proof-of-concept exploit is al gepubliceerd, waarmee aanvallers op afstand willekeurige opdrachten kunnen uitvoeren op kwetsbare servers. Hoewel er tot nu toe geen bewijs is dat de zwakke plekken actief zijn misbruikt, adviseert Palo Alto Networks om direct te updaten naar de nieuwste versie van Expedition en alle gebruikersnamen, wachtwoorden en API-sleutels te roteren. Administrators die niet meteen kunnen updaten, wordt aangeraden om netwerktoegang te beperken tot alleen geautoriseerde gebruikers en apparaten. 1

• CVE-2024-9463 (unauthenticated command injection vulnerability)
• CVE-2024-9464 (authenticated command injection vulnerability)
• CVE-2024-9465 (unauthenticated SQL injection vulnerability)
• CVE-2024-9466 (cleartext credentials stored in logs)
• CVE-2024-9467 (unauthenticated reflected XSS vulnerability)

Een ernstige beveiligingsfout (CVE-2024-47823) is ontdekt in Livewire, een populair framework voor Laravel. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om op afstand code uit te voeren via bestandsuploads. Het probleem zit in hoe Livewire de bestandsextensie controleert bij uploads in versies vóór 3.5.2. In plaats van de daadwerkelijke extensie te valideren, wordt deze geraden op basis van het MIME-type. Hierdoor kunnen aanvallers een bestand uploaden met een gevaarlijke extensie zoals .php, maar met een onschuldig MIME-type zoals image/png. Als de webserver is geconfigureerd om PHP-bestanden uit te voeren, kan dit leiden tot remote code execution. De kwetsbaarheid heeft een CVSS-score van 7.7 gekregen. Ontwikkelaars wordt geadviseerd direct te updaten naar de nieuwste versie van Livewire en extra voorzorgsmaatregelen te nemen zoals het uitschakelen van PHP-uitvoering in openbare mappen.

Schneider Electric heeft een ernstige beveiligingslek gemeld in de System Monitor-applicatie van hun Harmony Industrial PC Series en Pro-face PS5000 Legacy Industrial PC Series. De kwetsbaarheid, aangeduid als CVE-2024-8884, heeft een kritieke CVSS-score van 9.8 gekregen. Het lek stelt onbevoegden in staat om via een onbeveiligde HTTP-verbinding gevoelige informatie te bemachtigen, waaronder inloggegevens. Dit kan leiden tot denial-of-service aanvallen, datalekken en integriteitsproblemen, met mogelijk ernstige operationele storingen in industriële omgevingen tot gevolg. Alle versies van de System Monitor-applicatie in de genoemde productlijnen zijn getroffen. Schneider Electric adviseert klanten om de kwetsbare applicatie te verwijderen en raadt aan dit eerst in een testomgeving uit te voeren om onbedoelde verstoringen te voorkomen. Getroffen bedrijven worden sterk aangeraden snel actie te ondernemen om de risico's te beperken.

Een ernstige kwetsbaarheid (CVE-2024-36814) is ontdekt in AdGuard Home, een open-source oplossing voor netwerkbrede adblokkering. De kwetsbaarheid, gevonden door beveiligingsonderzoeker Jack Moran, stelt geauthenticeerde aanvallers in staat om willekeurige bestanden te lezen op het systeem waarop AdGuard Home draait.

Het probleem zit in de zwakke bestandspermissies van de configuratiemap, waardoor gevoelige informatie zoals gebruikersnamen en wachtwoordhashes toegankelijk zijn. Aanvallers kunnen misbruik maken van de functie voor aangepaste filterlijsten om systeembestanden zoals /etc/shadow toe te voegen en vervolgens te bekijken via de webinterface.

Deze kwetsbaarheid is vooral gevaarlijk in gedeelde omgevingen waar meerdere gebruikers toegang hebben tot het systeem. Eenmaal geëxploiteerd kunnen aanvallers wachtwoordhashes stelen, kraken en hun rechten verhogen.

De ontwikkelaars van AdGuard Home hebben het probleem erkend en een patch uitgebracht in versie v0.107.53. Gebruikers worden dringend geadviseerd hun installaties onmiddellijk bij te werken.

Een ernstige beveiligingskwetsbaarheid (CVE-2024-45720) is ontdekt in Apache Subversion (SVN), een populair versiebeheersysteem voor ontwikkelaars. De kwetsbaarheid treft voornamelijk Windows-platforms en maakt onbedoelde programma-uitvoering mogelijk via command line argument injectie. Het probleem ontstaat door de manier waarop command line argumenten worden verwerkt op Windows, waarbij een "best fit" tekenset-conversie plaatsvindt. Dit kan leiden tot onverwachte interpretatie van argumenten en uitvoering van andere programma's. De kwetsbaarheid is bevestigd op Windows 10 en 11, maar kan ook andere Windows-versies treffen. Unix-achtige platforms zoals Linux en macOS zijn niet getroffen. De beveiligingsonderzoekers Orange Tsai en Splitline van het DEVCORE Research Team hebben de kwetsbaarheid gemeld. Gebruikers wordt sterk aangeraden te upgraden naar Subversion 1.14.4, waarin het probleem is opgelost. Voor wie niet direct kan upgraden, is een tijdelijke patch beschikbaar.

Een onderzoeker van SEC Consult Vulnerability Lab heeft een kritieke kwetsbaarheid (CVE-2024-9473) ontdekt in de MSI-installer van Palo Alto Networks' GlobalProtect software. Deze kwetsbaarheid stelt lokale aanvallers met beperkte rechten in staat om SYSTEM-level toegang te krijgen op getroffen systemen.

Het probleem ontstaat wanneer een gebruiker met beperkte rechten een reparatie van de installatie uitvoert. Hierbij wordt een subproces met SYSTEM-rechten gestart dat interactie heeft met een dll-bestand. Door slim gebruik te maken van bestandsvergrendeling kan een aanvaller een command prompt openen met volledige systeemrechten.

Alle versies van GlobalProtect vóór 6.2.5 zijn kwetsbaar. Versie 5.2.x zal geen patch ontvangen omdat deze end-of-life is. Gebruikers worden sterk aangeraden zo snel mogelijk te upgraden naar versie 6.2.5 om het risico te beperken. 1

GitLab heeft belangrijke beveiligingsupdates uitgebracht voor zowel de Community als Enterprise edities in versies 17.4.2, 17.3.5 en 17.2.9. Deze updates verhelpen meerdere ernstige kwetsbaarheden, waaronder een kritieke fout (CVE-2024-9164) met een CVSS-score van 9.6. Deze fout stelt aanvallers in staat om pijplijnen uit te voeren op willekeurige branches, wat een groot veiligheidsrisico vormt.

Andere opgeloste kwetsbaarheden omvatten de mogelijkheid om gebruikers te imiteren, een server-side request forgery-probleem, een denial-of-service-kwetsbaarheid en een cross-site scripting-fout. Deze problemen kunnen leiden tot ongeautoriseerde toegang, gegevensdiefstal en systeemverstoringen.

GitLab dringt er bij alle gebruikers sterk op aan om onmiddellijk te upgraden naar een van de gepatchte versies om hun systemen te beschermen tegen deze ernstige beveiligingsproblemen.

Mitel heeft een belangrijke beveiligingswaarschuwing afgegeven over een ernstige SQL-injectie kwetsbaarheid (CVE-2024-47223) in hun MiCollab software, specifiek binnen de Audio, Web en Video Conferencing (AWV) component. Deze kwetsbaarheid, met een CVSS-score van 9.4, stelt aanvallers in staat om via een speciaal samengestelde URL toegang te krijgen tot gevoelige systemen. Hierdoor kunnen aanvallers ongeautoriseerde SQL-queries uitvoeren, wat de integriteit en beschikbaarheid van de MiCollab-omgeving ernstig kan aantasten. De kwetsbaarheid kan leiden tot de toegang tot gebruikersgegevens en het potentieel uitschakelen van de gehele MiCollab-service.

Bedrijven die MiCollab gebruiken, worden sterk aangeraden om onmiddellijk te updaten naar de nieuwste versie, aangezien versies voor MiCollab 9.8 SP2 kwetsbaar zijn. Voor klanten die niet direct kunnen updaten, heeft Mitel een tijdelijke patch beschikbaar gesteld. De ontdekking van deze kwetsbaarheid wordt toegeschreven aan Patrick Webster van OSI Security.

Een ernstige kwetsbaarheid in btcd, een alternatieve implementatie van het Bitcoin-protocol, kon kwaadwillenden in staat stellen om een hard fork van de Bitcoin-blockchain te forceren. Deze kwetsbaarheid, aangeduid als CVE-2024-38365 met een CVSS-score van 7.4, werd veroorzaakt door een fout in de manier waarop btcd handtekeningen van oude Bitcoin-transacties verifieert. Deze fout ontstond in 2014 en week af van de consensusregels van de originele Bitcoin-software, waardoor het mogelijk was om transacties te maken die door sommige btcd-nodes werden goedgekeurd maar door de officiële Bitcoin Core werden afgewezen. Kwaadwillenden konden deze fout misbruiken om speciale scripts te creëren die voor kwetsbare btcd-nodes geldig leken, wat tot netwerkinstabiliteit en een mogelijke ketensplitsing had kunnen leiden. De fout is inmiddels opgelost in versie 0.24.2 van btcd, en gebruikers worden dringend aangeraden te updaten om mogelijke aanvallen te voorkomen.

Keycloak, een open-source platform voor identiteits- en toegangsbeheer, heeft een beveiligingsupdate uitgebracht om een ernstige kwetsbaarheid (CVE-2024-3656) op te lossen. Deze kwetsbaarheid, met een CVSS-score van 8.1, werd ontdekt door onderzoeker Maurizio Agazzini en treft alle versies van Keycloak voor 24.0.5. Het probleem zit in specifieke eindpunten van de admin REST API. Kwaadwillende gebruikers met lage rechten kunnen hierdoor administratieve functies uitvoeren zonder toestemming. Dit kan leiden tot datalekken, systeemcompromittatie en privilege-escalatie, waarbij aanvallers volledige controle over de Keycloak-server kunnen krijgen.

Om deze dreiging te mitigeren, wordt gebruikers aangeraden om direct te updaten naar versie 24.0.5. Daarnaast is het belangrijk om verdachte API-verzoeken te monitoren en ervoor te zorgen dat gebruikers alleen de minimaal benodigde rechten hebben. Door snel actie te ondernemen kunnen organisaties de risico's van deze kwetsbaarheid beperken en hun systemen beter beschermen.

Progress Software heeft een belangrijke update uitgebracht voor de Telerik Report Server, waarin vier nieuwe kwetsbaarheden zijn aangepakt, waaronder de kritieke kwetsbaarheid CVE-2024-8015. Deze kwetsbaarheden, die van invloed zijn op versies van de Report Server vóór Q3 2024, vormen serieuze risico's voor gebruikers. De ernstigste fout, CVE-2024-8015, heeft een CVSS-score van 9.1 en kan aanvallers in staat stellen om willekeurige code op de server uit te voeren, wat volledige controle over de server mogelijk maakt.

Andere kwetsbaarheden maken brute force-aanvallen, credential stuffing en denial-of-service-aanvallen mogelijk. Progress Software adviseert gebruikers dringend om hun systemen bij te werken naar versie 10.2.24.924. Voor gebruikers die niet direct kunnen updaten, wordt geadviseerd om tijdelijke maatregelen te nemen, zoals het wijzigen van de rechten van de applicatiepoolgebruiker om de schade bij een aanval te beperken.

Mitel heeft een beveiligingswaarschuwing uitgebracht voor een ernstige kwetsbaarheid (CVE-2024-41713) in hun MiCollab platform. Deze kwetsbaarheid heeft een CVSS-score van 9.8 en bevindt zich in de NuPoint Unified Messaging (NPM) component van MiCollab. Door een fout in de invoervalidatie kan een aanvaller ongeautoriseerde toegang krijgen zonder in te loggen. Dit maakt het mogelijk om gevoelige informatie te verkrijgen en zelfs beheerderstaken uit te voeren.

De kwetsbaarheid kan de vertrouwelijkheid, integriteit en beschikbaarheid van systemen ernstig aantasten. Mitel raadt gebruikers ten zeerste aan om hun systemen zo snel mogelijk bij te werken naar versie MiCollab 9.8 SP2 of later. Voor wie niet direct kan upgraden, biedt Mitel een tijdelijke patch voor versies 9.7 en hoger.

Het risico voor bedrijven die dit niet snel verhelpen, is aanzienlijk en kan leiden tot verstoringen in de bedrijfsvoering door ongeautoriseerde toegang.

Zyxel-beveiligingsapparaten, met name de ATP- en USG FLEX-serie, worden momenteel aangevallen door cybercriminelen die misbruik maken van oudere kwetsbaarheden. Deze aanvallen richten zich op apparaten met verouderde firmwareversies, waarbij aanvallers gestolen inloggegevens gebruiken om ongeautoriseerde toegang te krijgen via SSL VPN-tunnels. Met deze toegang kunnen ze tijdelijke gebruikers aanmaken en beveiligingsregels wijzigen om netwerktoegang te verkrijgen.

Belangrijke tekenen van een mogelijke inbraak zijn verdachte SSL VPN-verbindingen van onbekende gebruikers zoals "SUPPOR87" en aanpassingen in de firewallinstellingen die ongeautoriseerde toegang van WAN naar LAN mogelijk maken.

Zyxel adviseert dringend om de firmware bij te werken naar versie 5.39 en alle wachtwoorden te wijzigen. Ook wordt aanbevolen om onbekende gebruikers te verwijderen, verdachte sessies uit te loggen, en tweefactorauthenticatie in te schakelen. Proactieve beveiligingsmaatregelen zoals firewalloptimalisatie en het beperken van toegang tot specifieke regio's zijn cruciaal om verdere schade te voorkomen.

Een kritieke kwetsbaarheid, CVE-2024-9465, is ontdekt in het Palo Alto Networks' Expedition-tool door beveiligingsonderzoeker Zach Hanley. Deze kwetsbaarheid, met een CVSS-score van 9.2, stelt ongeauthenticeerde aanvallers in staat gevoelige informatie uit de database van het tool te stelen, zoals gebruikersnamen, wachtwoord-hashes en API-sleutels. De aanval maakt gebruik van een SQL-injectie, waarbij aanvallers via onbeveiligde eindpunten kwaadaardige SQL-query's kunnen uitvoeren zonder in te loggen. Hierdoor kunnen zij tabellen creëren, gevoelige gegevens uitlezen en zelfs bestanden op het systeem manipuleren.

De kwetsbaarheid bevindt zich in een PHP-bestand dat zonder authenticatie toegankelijk is. Beveiligingsmaatregelen zoals het beperken van netwerktoegang tot het Expedition-tool of het volledig uitschakelen ervan wanneer het niet in gebruik is, worden aanbevolen. Palo Alto Networks heeft inmiddels een patch uitgebracht in versie 1.2.96 om het probleem te verhelpen.

Recent zijn er meerdere kwetsbaarheden gevonden in SonicWall's SMA1000 SSL-VPN-apparaten en de Connect Tunnel Windows-client. Deze kwetsbaarheden kunnen leiden tot aanvallen zoals Denial-of-Service (DoS), privilege-escalatie en zelfs het uitvoeren van willekeurige code. De ernstigste kwetsbaarheid, CVE-2024-45316, maakt het mogelijk dat gebruikers met standaardrechten willekeurige bestanden en mappen kunnen verwijderen, wat kan resulteren in volledige controle over het systeem. Andere kwetsbaarheden, zoals CVE-2024-45317 en CVE-2024-45315, stellen aanvallers in staat ongeautoriseerde verzoeken te sturen of DoS-aanvallen uit te voeren.

Hoewel er nog geen actieve exploitatie is waargenomen, wordt gebruikers van de getroffen producten dringend geadviseerd om updates uit te voeren. De aanbevolen oplossing is een upgrade naar versie 12.4.3.281 of hoger voor de Windows-client en het toepassen van een hotfix op de SMA1000-apparaten. SMA100-producten en andere platforms zoals Linux en Mac zijn niet getroffen.

Sophos X-Ops heeft een toename gezien in ransomware-aanvallen die misbruik maken van een ernstige kwetsbaarheid (CVE-2024-40711) in de Veeam Backup & Replication-software. Deze kwetsbaarheid, met een CVSS-score van 9.8, stelt aanvallers in staat om zonder authenticatie op afstand code uit te voeren via een kwetsbare URI. Hierdoor kunnen zij ongeautoriseerde accounts aanmaken met administratorrechten, wat de weg vrijmaakt voor het installeren van ransomware zoals Fog en Akira. In sommige gevallen werd gevoelige data zelfs geëxfiltreerd voordat de ransomware werd uitgerold.

Aanvallers profiteren van onveilige of verouderde VPN-toegangspunten, vooral als multifactorauthenticatie is uitgeschakeld. Bedrijven die Veeam Backup & Replication gebruiken, wordt sterk aangeraden om onmiddellijk de nieuwste patches te installeren en hun VPN-gateways te versterken. Dit onderstreept de cruciale rol van het up-to-date houden van systemen en het beveiligen van externe toegang om ransomware-aanvallen te voorkomen.

CVE-2024-24919 is een ernstige kwetsbaarheid in Check Point's Quantum Security Gateways en CloudGuard. Deze fout maakt het mogelijk voor ongeauthenticeerde aanvallers om toegang te krijgen tot gevoelige bestanden zoals "/etc/passwd" en "/etc/shadow" zonder dat gebruikersinteractie nodig is. De kwetsbaarheid heeft een hoge CVSS-score van 8.6, wat aangeeft dat het een groot risico vormt. Kwaadwillenden kunnen deze informatie gebruiken om domeinprivileges te verkrijgen en gevoelige netwerkconfiguraties te bemachtigen.

De kwetsbaarheid wordt misbruikt door een script dat POST-verzoeken stuurt naar een specifiek eindpunt op getroffen systemen, waarbij het toegang probeert te krijgen tot beveiligings- en VPN-configuraties. Het script geeft aan of de poging om bestanden te openen succesvol was, waardoor aanvallers snel kunnen zien welke gegevens toegankelijk zijn. Organisaties die deze producten gebruiken, worden sterk aangeraden om snel beveiligingsupdates door te voeren om deze kwetsbaarheid te verhelpen.

GitLab heeft beveiligingsupdates uitgebracht voor zowel de Community Edition (CE) als de Enterprise Edition (EE) om acht kwetsbaarheden aan te pakken, waaronder een kritieke kwetsbaarheid (CVE-2024-9164). Deze fout, met een CVSS-score van 9.6, stelt kwaadwillenden in staat om willekeurige CI/CD-pipelines uit te voeren op niet-geautoriseerde branches. Dit probleem treft GitLab EE-versies vanaf 12.5 tot 17.2.9, 17.3 tot 17.3.5, en 17.4 tot 17.4.2.

Naast deze kritieke fout zijn er nog zeven andere kwetsbaarheden opgelost, waaronder vier met een hoge ernst, zoals CVE-2024-8970 en CVE-2024-8977 (beide CVSS 8.2). Deze fouten maken aanvallen zoals het starten van pipelines als een andere gebruiker of SSRF-aanvallen mogelijk.

Hoewel er nog geen bewijs is van actieve uitbuiting van deze kwetsbaarheden, wordt sterk aangeraden om GitLab-instances onmiddellijk bij te werken om potentiële bedreigingen te voorkomen.

De Cybersecurity and Infrastructure Security Agency (CISA) heeft een dringende waarschuwing uitgegeven voor een kwetsbaarheid in de F5 BIG-IP Local Traffic Manager (LTM). Deze kwetsbaarheid betreft het gebruik van niet-versleutelde, persistente cookies, die door kwaadwillenden kunnen worden misbruikt om informatie over andere apparaten binnen het netwerk te achterhalen. BIG-IP-systemen worden veel gebruikt voor het beheer en beveiligen van netwerkverkeer, waardoor deze zwakte een groot risico vormt voor organisaties.

Wanneer cookies niet zijn versleuteld, kunnen aanvallers toegang krijgen tot waardevolle netwerkinformatie. Dit stelt hen in staat om extra kwetsbare systemen binnen het netwerk te identificeren en mogelijk te exploiteren. CISA adviseert dringend om versleuteling van cookies in te schakelen, waardoor de risico's op ongeoorloofde toegang worden verkleind. F5 heeft daarnaast het diagnostische hulpmiddel iHealth ontwikkeld om organisaties te helpen de beveiliging van hun cookies te controleren en te verbeteren. 1

Een ernstige kwetsbaarheid is ontdekt in de Angular-Base64-Upload library (versies vóór v0.1.21), waardoor ongeauthenticeerde aanvallers remote code execution (RCE) kunnen uitvoeren. Het probleem zit in het server.php-bestand van de demotoepassing, waar kwaadwillenden willekeurige bestanden kunnen uploaden naar de server via de uploadfunctie. Zodra deze bestanden zijn geüpload, kunnen ze via een ander endpoint worden benaderd en uitgevoerd, waardoor aanvallers toegang krijgen tot het systeem en kwaadaardige code kunnen draaien. De kwetsbaarheid heeft een CVSS-score van 10.0, wat de ernst van het probleem aangeeft. Het is belangrijk dat gebruikers de Angular-Base64-Upload library zo snel mogelijk bijwerken naar versie 0.1.21 of hoger om deze dreiging te verhelpen. Dit exploit is getest en geverifieerd op Arch Linux en wordt breed gedeeld in de cybersecurity-gemeenschap. 1

Mozilla heeft een belangrijke beveiligingsupdate uitgebracht voor Firefox, naar aanleiding van een ernstig beveiligingslek (CVE-2024-9680), dat momenteel actief wordt uitgebuit. Deze kwetsbaarheid, met een CVSS-score van 9.8, bevindt zich in de animatietijdlijn van de Web Animations API van Firefox en maakt het mogelijk voor aanvallers om op afstand willekeurige code uit te voeren op gebruikerssystemen. Het lek is een "use-after-free"-fout, een vorm van geheugenbeschadiging die aanvallers toestaat schadelijke code in te voegen.

Na een melding van antivirusbedrijf ESET handelde Mozilla snel en bracht binnen 25 uur een fix uit. Dit benadrukt het belang van het direct updaten naar de nieuwste Firefox-versies. Gebruikers van de Tor Browser, die gebaseerd is op Firefox, zijn specifiek doelwit van deze aanvallen. Mozilla dringt er bij alle gebruikers op aan om hun browsers zo snel mogelijk bij te werken om de risico's te minimaliseren.

HashiCorp heeft een beveiligingsbulletin uitgebracht waarin een kwetsbaarheid in zijn Vault-platform wordt beschreven, die aanvallers in staat kan stellen hun rechten uit te breiden naar het zeer gevoelige root-beleid. De fout, aangeduid als CVE-2024-9180 met een CVSS-score van 7.2, wordt veroorzaakt door onjuiste verwerking van gegevens in het in-memory entity cache van Vault. Hierdoor kunnen kwaadwillenden met schrijfbevoegdheden in de root namespace hun rechten opwaarderen en toegang krijgen tot gevoelige informatie of zelfs volledige controle over het Vault-systeem krijgen.

Hoewel de impact beperkt blijft doordat de gemanipuleerde gegevens niet worden verspreid binnen de cluster en na een herstart worden gewist, wordt gebruikers aangeraden om de risico’s zorgvuldig te evalueren en hun systemen bij te werken. Voor gebruikers die niet kunnen upgraden, zijn er alternatieven zoals het aanpassen van beleid of het monitoren van auditlogs om mogelijke aanvallen te detecteren.

Mozilla heeft in recordtijd van 25 uur een kritieke kwetsbaarheid in Firefox gepatcht, die actief werd misbruikt door aanvallers. Het probleem werd ontdekt toen gebruikers van de Tor Browser, die op Firefox is gebaseerd, doelwit werden van deze exploit. Antivirusbedrijf ESET ontdekte de kwetsbaarheid en waarschuwde Mozilla, waarna het beveiligingsteam direct aan de slag ging met een oplossing. Dit vergde reverse engineering van de 'full exploit chain', waarmee aanvallers op afstand code konden uitvoeren op systemen van gebruikers. Eerder dit jaar won Mozilla een prijs voor het snel verhelpen van beveiligingsproblemen tijdens de hackwedstrijd Pwn2Own, maar toen was het bedrijf voorbereid op potentiële lekken. In dit geval gebeurde de aanval onverwachts, maar desondanks reageerde Mozilla snel en werkt het nu ook aan maatregelen om Firefox beter te beschermen tegen toekomstige aanvallen.

Een ernstige kwetsbaarheid (CVE-2024-47830) met een CVSS-score van 9.3 is ontdekt in Plane, een populair open-source projectmanagementtool. Deze kwetsbaarheid, die Server-Side Request Forgery (SSRF) mogelijk maakt, stelt aanvallers in staat om via de server verzoeken te doen naar ongewenste locaties. Dit kan leiden tot ongeautoriseerde toegang tot interne systemen en het lekken van gevoelige informatie. De fout werd gevonden in de configuratie voor het verwerken van afbeeldingen, waarbij wildcards in de instelling "remotePatterns" onbeperkte toegang tot externe hostnamen mogelijk maakten. Hierdoor konden aanvallers de server misleiden om verbinding te maken met kwaadwillende servers, wat een risico vormt voor interne diensten en gegevens.

De ontwikkelaars van Plane hebben de fout hersteld in versie v0.23 en gebruikers wordt dringend aangeraden om onmiddellijk te updaten naar deze versie om de beveiliging van hun systemen te waarborgen.

Apache Roller, een veelgebruikte Java-gebaseerde blogplatform, heeft een kritieke beveiligingsupdate uitgebracht om een Cross-site Request Forgery (CSRF) kwetsbaarheid (CVE-2024-46911) te verhelpen. Deze kwetsbaarheid stelde aanvallers in staat om via weblog-eigenaren ongeautoriseerde acties uit te voeren op multi-user Roller websites. Dit vormde een risico voor de gehele blogomgeving. Apache Roller 6.1.4 lost dit probleem op door standaard HTML-inhoud te saneren en het uitschakelen van thema's en bestandsuploads. Verder zijn er verbeteringen in de CSRF- en XSS-bescherming geïmplementeerd, waaronder gebruikersspecifieke en eenmalige beveiligingscodes. Naast de beveiligingsaanpassingen zijn er meer dan 20 software-afhankelijkheden bijgewerkt, waaronder Spring en Log4j. Gebruikers van multi-user Roller websites wordt sterk aangeraden te updaten naar versie 6.1.4 om mogelijke exploits te voorkomen en de veiligheid van hun platform te waarborgen.

Een recente scan heeft aangetoond dat duizenden Fortinet-apparaten wereldwijd nog steeds kwetsbaar zijn voor een kritieke Remote Code Execution (RCE) kwetsbaarheid (CVE-2024-23113), ondanks dat er sinds februari 2024 een patch beschikbaar is. Deze kwetsbaarheid in de fgfmd-daemon maakt het mogelijk dat aanvallers zonder authenticatie willekeurige code kunnen uitvoeren op de apparaten, wat serieuze veiligheidsrisico's met zich meebrengt.

Uit de gegevens van de Shadowserver Foundation blijkt dat meer dan 87.000 unieke IP-adressen kwetsbare Fortinet-apparaten hosten, met de Verenigde Staten, Japan en India als landen met de meeste blootgestelde systemen.

Hoewel Fortinet heeft geadviseerd om systemen te patchen en verdere beveiligingsmaatregelen aan te nemen, zoals het beperken van toegang tot de kwetsbare diensten, blijven veel apparaten onbeveiligd. Hierdoor blijven organisaties wereldwijd, waaronder kritieke infrastructuren en overheidsinstanties, een groot risico lopen. Ondertussen wordt de kwetsbaarheid actief uitgebuit door kwaadwillende partijen.

GitHub heeft updates uitgebracht om twee kwetsbaarheden in GitHub Enterprise Server aan te pakken. De ernstigste, CVE-2024-9487, kreeg een CVSS-score van 9.5. Deze kwetsbaarheid betreft de SAML SSO-authenticatiemechanisme, waar een fout in de cryptografische handtekeningverificatie werd ontdekt. Hierdoor kon een aanvaller onder specifieke voorwaarden de authenticatie omzeilen en ongeautoriseerde toegang verkrijgen. Voor een succesvolle aanval moest de functie "versleutelde verklaringen" zijn ingeschakeld, moest de aanvaller netwerktoegang tot de server hebben, en moest hij over een geldig SAML-respons- of metadata-document beschikken.

De tweede kwetsbaarheid, minder ernstig, betreft de mogelijkheid om kwaadaardige URL's in SVG-bestanden te embedden, wat kan leiden tot phishingaanvallen. Beide kwetsbaarheden zijn opgelost in de nieuwste versies van GitHub Enterprise Server. Organisaties die deze software gebruiken, wordt dringend geadviseerd om onmiddellijk te updaten om de risico's te beperken.

Een ernstige kwetsbaarheid, CVE-2024-35202, is ontdekt in Bitcoin Core (score 7.5 op de CVSS-schaal), waarmee aanvallers op afstand Bitcoin Core-nodes kunnen laten crashen. Het probleem treedt op bij het verwerken van zogenaamde "cmpctblock" berichten, waarbij de node probeert blokken te reconstrueren op basis van bekende transacties. Als de node ontbrekende transacties niet kan verkrijgen, kan deze crashen door een fout in het verwerkingsprotocol. Het probleem ontstaat wanneer een tweede bericht voor hetzelfde blok wordt ontvangen, wat leidt tot een fout in de functie die het blok voltooit. Dit kan opzettelijk door aanvallers worden veroorzaakt door foutieve transacties in berichten op te nemen.

Hoewel aanvallers geen geld of data kunnen stelen, kan dit leiden tot grootschalige verstoringen van het Bitcoin-netwerk. De kwetsbaarheid is opgelost in versie 25.0 van Bitcoin Core, en gebruikers worden dringend geadviseerd te updaten om de stabiliteit van hun nodes te waarborgen.

Een beveiligingsonderzoeker heeft een kritieke kwetsbaarheid ontdekt in het e-mailbeheersysteem van Zendesk, bekend als CVE-2024-49193. Deze kwetsbaarheid stelt aanvallers in staat om e-mails te spoofen en ongeautoriseerde toegang te krijgen tot de volledige geschiedenis van supporttickets, inclusief gevoelige informatie. De fout zit in het systeem waarmee Zendesk automatisch een reply-to-adres genereert voor supporttickets. Als een aanvaller het supportadres en een ticketnummer kent, kan hij zichzelf aan de e-mailconversatie toevoegen door een vervalste e-mail te sturen. Hoewel de onderzoeker dit probleem snel meldde via het bug bounty-programma van Zendesk, werd het aanvankelijk genegeerd. Later, onder druk van getroffen bedrijven, werd het probleem aangepakt. Bedrijven die gebruikmaken van Zendesk, hebben ondertussen extra maatregelen genomen, zoals het uitschakelen van de e-mailfunctionaliteit, om deze kwetsbaarheid te dichten. Deze ontdekking benadrukt het belang van effectieve beveiligingsmaatregelen tegen e-mailspoofing.

Er is een ernstige kwetsbaarheid ontdekt in het populaire Java-beveiligingsframework pac4j, aangeduid als CVE-2023-25581. Deze kwetsbaarheid, met een CVSS-score van 9.2, stelt aanvallers in staat om willekeurige code uit te voeren op getroffen systemen, wat kan leiden tot diefstal van gegevens of verstoring van diensten. De fout ligt in de manier waarop pac4j gebruikersprofielattributen verwerkt, waarbij onbetrouwbare data wordt gedeserialiseerd. Dit maakt het mogelijk voor aanvallers om schadelijke objecten in gebruikersprofielen te injecteren en de kwetsbaarheid te misbruiken voor Remote Code Execution (RCE). Ondanks de beveiligingsmaatregelen in pac4j-core is het voor aanvallers nog steeds mogelijk om via verschillende Java-objecten deze kwetsbaarheid te exploiteren. Gebruikers van pac4j worden dringend geadviseerd om zo snel mogelijk te updaten naar versie 4.0.0 of later, omdat deze niet door de kwetsbaarheid wordt getroffen.

Jetpack, een populaire WordPress-plugin, heeft een kritieke beveiligingsupdate uitgebracht om een kwetsbaarheid te verhelpen die al sinds 2016 aanwezig was. Deze kwetsbaarheid liet ingelogde gebruikers formulieren bekijken die door websitebezoekers waren ingevuld, wat een groot beveiligingsrisico vormde. Het probleem werd ontdekt tijdens een interne audit van Jetpack en treft alle versies van de plugin vanaf 3.9.9. Er zijn updates uitgebracht voor maar liefst 101 versies van de plugin. Hoewel er geen bewijs is dat de kwetsbaarheid in de afgelopen acht jaar is misbruikt, adviseert Jetpack gebruikers dringend om de update zo snel mogelijk te installeren. Er zijn geen tijdelijke oplossingen beschikbaar; het updaten naar een veilige versie is de enige manier om deze kwetsbaarheid te verhelpen. Verdere technische details over de kwetsbaarheid zijn voorlopig achtergehouden om gebruikers de tijd te geven de updates door te voeren. 1

Een ernstige beveiligingsfout, CVE-2024-9921, is ontdekt in de zakelijke samenwerkingsapp Team+, met een CVSS-score van 9.8. Deze kwetsbaarheid stelt aanvallers in staat om ongeautoriseerde SQL-opdrachten uit te voeren, waardoor gevoelige bedrijfsgegevens zoals gebruikersinformatie en bestanden kunnen worden gestolen of gewijzigd. Daarnaast zijn twee andere kwetsbaarheden, CVE-2024-9922 en CVE-2024-9923, geïdentificeerd, die respectievelijk systeembestanden blootstellen en aanvallers in staat stellen bestanden naar de website-root te verplaatsen. Deze fouten maken het mogelijk om belangrijke bedrijfsinformatie te lezen en openbaar te maken.

Team+ heeft een update uitgebracht in versie 14.0.0 om deze risico's te mitigeren. Bedrijven die nog versie 13.5.x gebruiken, worden dringend geadviseerd onmiddellijk te updaten om ernstige beveiligingsproblemen te voorkomen.

Moxa heeft onlangs twee ernstige kwetsbaarheden ontdekt in zijn mobiele routers en netwerkbeveiligingsapparaten. Deze zwakke plekken, CVE-2024-9137 en CVE-2024-9139, kunnen aanvallers in staat stellen om ongeautoriseerde toegang te krijgen en willekeurige opdrachten uit te voeren op kwetsbare systemen.

CVE-2024-9137 heeft een CVSS-score van 9.4 en laat toe dat aanvallers zonder authenticatie apparaatconfiguraties manipuleren. Dit kan leiden tot het downloaden of uploaden van ongeautoriseerde bestanden, waardoor systemen worden gecompromitteerd. CVE-2024-9139, met een score van 7.2, maakt OS-opdrachtinjectie mogelijk, wat eveneens een risico vormt voor het uitvoeren van schadelijke code.

Moxa heeft firmware-updates uitgebracht voor de getroffen apparaten en adviseert gebruikers om onmiddellijk hun firmware bij te werken en extra beveiligingsmaatregelen te nemen, zoals het beperken van netwerkblootstelling en het gebruik van firewallregels. Directe actie is noodzakelijk om deze kritieke kwetsbaarheden te verhelpen.

Splunk heeft recent belangrijke beveiligingsupdates uitgebracht om verschillende kwetsbaarheden in Splunk Enterprise en Splunk Cloud Platform te verhelpen. Twee van de ernstigste problemen, CVE-2024-45731 en CVE-2024-45733, maken remote code execution (RCE) mogelijk. Dit kan aanvallers in staat stellen om op afstand schadelijke code uit te voeren op getroffen systemen. Een van deze kwetsbaarheden treft vooral Windows-systemen, waarbij aanvallers een schadelijk bestand in de root directory kunnen plaatsen.

Daarnaast zijn er ook kwetsbaarheden gevonden die laaggeprivilegieerde gebruikers toegang geven tot gevoelige informatie en bepaalde acties kunnen uitvoeren, zoals het crashen van het Splunk-systeem of het manipuleren van instellingen. Splunk heeft ook problemen opgelost die informatielekken en cross-site scripting (XSS) mogelijk maken.

Gebruikers wordt sterk aangeraden om hun Splunk-installaties direct te updaten om bescherming te bieden tegen deze kwetsbaarheden.

Jetpack, een populaire WordPress-plugin ontwikkeld door Automattic, heeft een kritieke beveiligingsupdate uitgebracht voor een kwetsbaarheid die miljoenen websites kan raken. De kwetsbaarheid, die sinds versie 3.9.9 aanwezig is, heeft betrekking op de Contact Form-functie van de plugin. Hierdoor kunnen ingelogde gebruikers mogelijk de inhoud van formulieren die door websitebezoekers zijn ingediend, lezen, wat een ernstig privacy- en beveiligingsrisico vormt.

Automattic ontdekte de kwetsbaarheid tijdens een interne beveiligingscontrole en heeft nauw samengewerkt met het WordPress Security Team om gepatchte versies uit te brengen voor alle getroffen Jetpack-versies. Hoewel er geen aanwijzingen zijn dat deze kwetsbaarheid tot nu toe is misbruikt, wordt websitebeheerders sterk aangeraden hun Jetpack-plugin zo snel mogelijk bij te werken. De update is automatisch toegepast op de meeste websites om ervoor te zorgen dat ze beschermd blijven.

Earth Simnavaz, ook bekend als APT34, is een Iraanse hackersgroep die zich richt op kritieke infrastructuur in de Golfregio, met name in de energiesector. Trend Micro-onderzoekers ontdekten dat de groep geavanceerde technieken gebruikt, zoals het uitbuiten van kwetsbaarheden in Microsoft Exchange-servers en het Windows-kernellek CVE-2024-30088, om langdurige toegang te krijgen tot systemen en gevoelige informatie te stelen. De aanvallers maken gebruik van een backdoor om inloggegevens te bemachtigen en te exfiltreren, wat hen langdurige controle geeft over de getroffen netwerken. Bovendien gebruiken ze tools zoals ngrok om onopgemerkt communicatie op te zetten met gecompromitteerde systemen. Hun aanvallen zijn vooral gericht op geopolitiek gevoelige gebieden, met als doel spionage en economische sabotage. Deze cyberdreiging benadrukt de toenemende gevaren van staatssponsorde cyberaanvallen, met mogelijke vergaande gevolgen voor de nationale veiligheid en stabiliteit in de regio.

Een recent ontdekte kwetsbaarheid in de Authd-authenticatiedaemon op Ubuntu-systemen (CVE-2024-9312) maakt het mogelijk voor aanvallers om gebruikers-ID's te vervalsen en ongeautoriseerde toegang te krijgen. De fout zit in de manier waarop Authd gebruikers-ID’s genereert, waarbij onvoldoende randomisatie wordt toegepast. Dit kan leiden tot botsingen tussen gebruikersnamen en gebruikers-ID’s, waardoor een aanvaller toegang kan verkrijgen tot de accounts van legitieme gebruikers.

Aanvallers met lokale toegang kunnen profiteren van deze fout door meerdere accounts aan te maken met dezelfde gebruikers-ID, wat hen dezelfde rechten geeft als de originele gebruiker. Hierdoor kunnen zij gevoelige bestanden, zoals SSH-sleutels, manipuleren. Het probleem kan offline worden geëxploiteerd en met weinig rekenkracht, wat de dreiging aanzienlijk maakt.

Canonical heeft versie 0.3.6 van Authd uitgebracht om dit probleem op te lossen. Gebruikers wordt dringend geadviseerd om hun systemen te updaten naar de nieuwste versie om misbruik van deze kwetsbaarheid te voorkomen.

Een gevaarlijke kwetsbaarheid in Windows Kernel-Mode Drivers, CVE-2024-35250, stelt aanvallers in staat om systeemprivileges te verkrijgen, waardoor volledige controle over een systeem mogelijk is. Deze kwetsbaarheid werd onthuld tijdens de Pwn2Own Vancouver 2024-wedstrijd en heeft een CVSS-score van 7.8. Het probleem zit in de verwerking van IOCTL_KS_PROPERTY-aanvragen in het ks.sys-bestand. Door de fout kan een aanvaller gebruik maken van een buffer die niet correct wordt gevalideerd, wat leidt tot het uitvoeren van ongeoorloofde bewerkingen.

Onderzoekers slaagden erin om met deze exploit systeemrechten te verkrijgen door de bestaande proces-token te vervangen door een systeem-token. Hoewel beveiligingsmaatregelen zoals Kernel Control Flow Guard (kCFG) en Address Space Layout Randomization (ASLR) de aanval bemoeilijken, werd een werkende exploitcode vrijgegeven om het probleem aan te tonen. Microsoft heeft de kwetsbaarheid inmiddels gepatcht in een update van juni 2024. Het wordt gebruikers en organisaties sterk aangeraden om hun systemen te updaten.

Helmholz REX100 industriële routers, gebruikt voor veilige externe toegang tot industriële apparatuur, zijn kwetsbaar bevonden voor meerdere ernstige beveiligingsproblemen. Deze kwetsbaarheden stellen organisaties bloot aan risico's zoals ongeautoriseerde toegang en het op afstand uitvoeren van kwaadaardige code. De kwetsbaarheden omvatten onder andere de mogelijkheid voor aanvallers om zonder authenticatie willekeurige opdrachten uit te voeren via UDP (CVE-2024-45274, CVSS 9.8) en het misbruik van hardcoded accounts met standaardwachtwoorden (CVE-2024-45275, CVSS 9.8). Andere zwakke punten zijn onder meer slechte versleuteling en onvoldoende invoercontrole, waardoor gevoelige informatie kan worden blootgesteld of aanvallers administratieve rechten kunnen krijgen. Helmholz heeft firmware-update 2.3.1 uitgebracht om deze problemen aan te pakken. Gebruikers wordt dringend aangeraden hun apparaten te updaten om ernstige gevolgen, zoals verlies van controle over industriële processen en datalekken, te voorkomen. 1

De Cybersecurity and Infrastructure Security Agency (CISA) heeft een dringende waarschuwing afgegeven voor drie ernstig misbruikte beveiligingslekken in software zoals Microsoft Windows, Mozilla Firefox en SolarWinds Web Help Desk. Deze kwetsbaarheden zijn opgenomen in de catalogus van bekende misbruikte kwetsbaarheden (KEV), wat aangeeft dat onmiddellijke patching noodzakelijk is.

Een van de kwetsbaarheden, CVE-2024-30088, is een kritiek probleem in de Windows Kernel en wordt in verband gebracht met een Iraanse APT-groep. Het stelt aanvallers in staat om systeemrechten te verkrijgen. Een andere kwetsbaarheid, CVE-2024-9680, treft Mozilla Firefox en stelt kwaadwillenden in staat om willekeurige code uit te voeren. Daarnaast is CVE-2024-28987, die de SolarWinds Web Help Desk raakt, gevaarlijk vanwege hardcoded inloggegevens, wat aanvallers toegang geeft tot gevoelige informatie.

CISA dringt aan op directe updates om deze beveiligingsproblemen aan te pakken, vooral voor overheidsinstanties, met een deadline van 5 november 2024. 1

Een veiligheidsadvies van CERT@VDE heeft meerdere kritieke kwetsbaarheden blootgelegd in de mbNET.mini industriële router, geproduceerd door MB connect line. Deze router is cruciaal voor het veilig op afstand beheren van industriële machines en systemen. De ontdekte kwetsbaarheden stellen aanvallers in staat tot remote code execution (RCE) en ongeautoriseerde toegang. Vooral CVE-2024-45274 en CVE-2024-45275 met een CVSS-score van 9.8 zijn zeer ernstig, omdat ze volledige controle over het apparaat mogelijk maken en gebruik maken van hardcoded accounts met standaardwachtwoorden. Andere kwetsbaarheden omvatten privilege escalation en zwakke encryptie, wat kan leiden tot datalekken en operationele verstoringen. De exploitatie van deze kwetsbaarheden kan resulteren in volledige systeemovername, diefstal of manipulatie van gevoelige gegevens en aanzienlijke financiële verliezen. MB connect line heeft deze problemen verholpen in firmware versie 2.3.1 en gebruikers wordt sterk aangeraden hun apparaten onmiddellijk te updaten.

In een tijdperk waarin dataprivacy steeds belangrijker wordt, beloven end-to-end encryptie (E2EE) cloudopslag systemen de gegevens van gebruikers te beschermen, zelfs tegen de aanbieders zelf. Echter, een recent rapport van Jonas Hofmann en Kien Tuong Truong van ETH Zurich toont aan dat deze belofte vaak niet wordt nagekomen. Hun analyse van vijf grote E2EE cloudopslagdiensten — Sync, pCloud, Icedrive, Seafile en Tresorit — heeft kritieke kwetsbaarheden blootgelegd die gebruikers blootstellen aan onverwachte risico's. De studie identificeert verschillende gebreken, zoals gebrek aan sleutelverificatie, protocoldaling, bestandinjectie-aanvallen en ongeauthenticeerde encryptie. Bovendien worden metadata, zoals bestandsnamen en -groottes, niet adequaat beschermd, waardoor aanvallers deze kunnen manipuleren of blootleggen. De onderzoekers benadrukken dat deze kwetsbaarheden wijdverspreid zijn en gemakkelijk te exploiteren zonder geavanceerde cryptografische kennis. Gebruikers en organisaties worden daarom gewaarschuwd om voorzichtig te zijn en te pleiten voor sterkere beveiligingsmaatregelen voordat zij gevoelige gegevens in de cloud opslaan. pdf downloaden

Rittal, een toonaangevende leverancier van industriële automatiseringsoplossingen, heeft meerdere kwetsbaarheden ontdekt in hun IoT Interface en CMC III Processing Unit. Deze beveiligingslekken, geïdentificeerd door Johannes Kruchem van het SEC Consult Vulnerability Lab, maken het mogelijk voor aanvallers om ongeautoriseerde toegang te verkrijgen en schadelijke code uit te voeren op de getroffen apparaten. Een van de belangrijkste kwetsbaarheden is CVE-2024-47943, waarbij de firmware-upgradefunctie een gebrekkige handtekeningverificatie gebruikt. Hierdoor kunnen aanvallers malafide firmware-updates creëren die legitiem lijken. Daarnaast ontbreekt het apparaat aan adequate authenticatie bij firmware-updates via USB-sticks of SD-kaarten (CVE-2024-47944), en zijn de sessie-ID’s voorspelbaar (CVE-2024-47945), wat sessie-overname mogelijk maakt. Rittal heeft inmiddels een gepatchte versie (V6.21.00.2) uitgebracht en raadt gebruikers aan hun systemen onmiddellijk bij te werken om de risico’s te mitigeren.

Er is een ernstige beveiligingslek (CVE-2024-9634) ontdekt in GiveWP, een populaire WordPress plugin voor donaties met meer dan 100.000 actieve installaties. Deze kwetsbaarheid betreft een PHP Object Injection, waarmee onbevoegde aanvallers willekeurige code kunnen uitvoeren op kwetsbare websites. Dit kan leiden tot volledige overname van de site en het compromitteren van gevoelige donateurgegevens. De kwetsbaarheid heeft een CVSS-score van 9.8 en werd geïdentificeerd door de beveiligingsonderzoeker "lefab". Het probleem ontstond door onjuiste verwerking van de parameter give_company_name, waardoor aanvallers kwaadaardige PHP-objecten konden injecteren. In combinatie met een bestaande POP chain kan dit resulteren in remote code execution (RCE). Het GiveWP ontwikkelingsteam heeft snel gereageerd en versie 3.16.4 uitgebracht om het probleem te verhelpen. Gebruikers worden sterk aangeraden hun plugin onmiddellijk bij te werken om hun websites te beschermen. 1, 2

Het Kubernetes Security Response Committee heeft twee ernstige beveiligingslekken ontdekt in de Kubernetes Image Builder, aangeduid als CVE-2024-9486 en CVE-2024-9594. De meest kritieke kwetsbaarheid, CVE-2024-9486 met een CVSS-score van 9.8, treft de Proxmox provider. Hierbij blijven standaardreferenties actief tijdens het bouwproces van virtuele machine images, waardoor aanvallers volledige controle over de VMs kunnen verkrijgen. CVE-2024-9594, met een CVSS-score van 6.3, beïnvloedt andere providers zoals Nutanix en QEMU. Hoewel de standaardreferenties na het bouwproces worden uitgeschakeld, blijft de kwetsbaarheid aanwezig als een aanvaller toegang krijgt tijdens het image bouwen. Gebruikers worden dringend verzocht de Image Builder bij te werken naar versie v0.1.38 of hoger. Als tijdelijke maatregel kan de "builder" account op getroffen VMs worden uitgeschakeld. 1

In de patchronde van oktober heeft Oracle 334 beveiligingsupdates uitgebracht, waaronder voor meerdere kritieke kwetsbaarheden in WebLogic Server en andere producten. Een aantal van deze kwetsbaarheden heeft een impactscore van 9,8 op een schaal van 10, wat aangeeft hoe ernstig ze zijn. Oracle meldt dat aanvallers actief misbruik maken van kwetsbaarheden waarvoor al patches beschikbaar zijn, vooral omdat sommige klanten deze updates niet tijdig installeren. De getroffen producten zijn onder andere Oracle WebLogic Server, Oracle Business Intelligence, Oracle Solaris en andere veelgebruikte systemen. Een specifieke kwetsbaarheid in WebLogic Server (CVE-2024-21216) kan door een aanvaller zonder authenticatie worden misbruikt. Oracle geeft echter weinig verdere details. In tegenstelling tot andere bedrijven zoals Microsoft en Adobe, brengt Oracle niet maandelijks maar per kwartaal updates uit. De volgende patchronde staat gepland voor 21 januari 2025. Het is cruciaal voor gebruikers om patches snel te installeren om zich tegen potentiële aanvallen te beschermen. 1, 2

Apache CloudStack heeft beveiligingsupdates uitgebracht voor versies 4.18.2.4 en 4.19.1.2 om vier kwetsbaarheden aan te pakken. De ernstigste kwetsbaarheid, CVE-2024-45219, kan aanvallers in staat stellen om KVM-gebaseerde infrastructuur te compromitteren door misbruik te maken van geüploade en geregistreerde sjablonen en volumes. Dit kan leiden tot het in gevaar brengen van de integriteit en vertrouwelijkheid van bronnen, gegevensverlies en verstoring van de beschikbaarheid. Een andere belangrijke kwetsbaarheid, CVE-2024-45693, betreft een bypass van de validatie van verzoekoorsprong die kan leiden tot accountovername. Twee kwetsbaarheden met gemiddelde ernst werden ook opgelost, waaronder problemen met toegangscontroles en onvolledige sessie-ongeldigverklaring. Apache CloudStack raadt gebruikers sterk aan om te upgraden naar de nieuwste versies om deze kwetsbaarheden te mitigeren. Er worden ook instructies gegeven voor het scannen en valideren van sjablonen en volumes om te verzekeren dat ze niet zijn gecompromitteerd. 1

Het Matrix.org Security Team heeft twee ernstige kwetsbaarheden onthuld in de matrix-js-sdk en matrix-react-sdk bibliotheken. Deze kwetsbaarheden, aangeduid als CVE-2024-47080 en CVE-2024-47824, houden verband met de implementatie van een specificatie voor het delen van kamersleutels met nieuwe gebruikers. Het kernprobleem ligt in de manier waarop matrix-js-sdk encryptiesleutels behandelde bij het uitnodigen van nieuwe gebruikers voor versleutelde kamers. Dit kon leiden tot ongeoorloofde toegang tot versleutelde berichtgeschiedenis.

De kwetsbaarheden treffen versies van matrix-js-sdk tussen 9.11.0 en 34.8.0, en matrix-react-sdk tussen 3.18.0 en 3.102.0. Gebruikers worden dringend aangeraden te updaten naar de nieuwste versies waarin deze problemen zijn verholpen. Matrix.org plant ook een herziening van de betrokken specificatie om soortgelijke problemen in de toekomst te voorkomen en benadrukt het belang van gebruikersverificatie voor de algemene beveiliging van het Matrix-protocol. 1

Taiwan's Computer Emergency Response Team heeft gewaarschuwd voor meerdere ernstige kwetsbaarheden in de Ragic Enterprise Cloud Database, een populair no-code platform voor bedrijfsapplicaties. De kwetsbaarheden, ontdekt door het DEVCORE Red Team, kunnen leiden tot ongeautoriseerde toegang tot gevoelige gegevens en systeembestanden. De meest kritieke kwetsbaarheid (CVE-2024-9984) maakt het mogelijk voor aanvallers om zonder authenticatie sessiecookies van gebruikers te verkrijgen, wat kan resulteren in volledige accountovername. Andere kwetsbaarheden maken ongeautoriseerd lezen van systeembestanden en het uploaden van schadelijke bestanden mogelijk. Succesvolle exploitatie kan leiden tot datalekken, systeemcompromittering en verstoring van bedrijfsprocessen. Ragic heeft op 8 augustus 2024 een beveiligingsupdate uitgebracht om deze problemen op te lossen. Gebruikers worden dringend geadviseerd hun systemen onmiddellijk bij te werken naar de nieuwste versie om de risico's te mitigeren.

Trend Micro heeft een dringende waarschuwing uitgebracht over een kritieke kwetsbaarheid in hun Cloud Edge apparaat. Deze kwetsbaarheid, aangeduid als CVE-2024-48904 met een CVSS-score van 9.8, stelt externe aanvallers in staat willekeurige code uit te voeren op getroffen apparaten zonder authenticatie. Getroffen versies zijn Cloud Edge 5.6SP2 en 7.0. Trend Micro heeft gepatche versies uitgebracht om het probleem aan te pakken: Cloud Edge 5.6 SP2 build 3228 en 7.0 build 1081. Hoewel het uitbuiten van deze kwetsbaarheid doorgaans toegang tot de kwetsbare machine vereist, maakt het ontbreken van authenticatie het een ernstige bedreiging. Trend Micro dringt er bij alle gebruikers op aan hun Cloud Edge apparaten onmiddellijk bij te werken om het risico op mogelijke aanvallen te beperken. Naast patchen adviseert Trend Micro ook om externe toegang tot kritieke systemen te herzien en ervoor te zorgen dat beveiligingsbeleid en perimeterbeveiliging up-to-date zijn. 1

Broadcom heeft een ernstige kwetsbaarheid (CVE-2024-38814) bekendgemaakt in VMware HCX, een belangrijke component voor applicatiemigratie en disaster recovery in multi-cloud infrastructuren. De SQL-injectie kwetsbaarheid heeft een CVSS-score van 8.8 en wordt als "Important" geclassificeerd. Een kwaadwillende gebruiker met beperkte rechten kan hiermee ongeautoriseerde code uitvoeren op de HCX-manager, wat kan leiden tot ernstige gevolgen zoals datalekken of verstoorde dienstverlening. De kwetsbaarheid treft meerdere versies van VMware HCX. Er zijn patches beschikbaar voor versies 4.10.x, 4.9.x en 4.8.x. Broadcom benadrukt het belang van direct patchen, aangezien er geen workarounds zijn. De ontdekking wordt toegeschreven aan Sina Kheirkhah van het Summoning Team, in samenwerking met Trend Micro's Zero Day Initiative. Organisaties worden dringend geadviseerd hun omgevingen zo snel mogelijk te beveiligen door de beschikbare patches toe te passen. 1

Apache Solr, een veelgebruikt zoekplatform voor grote websites, is getroffen door twee nieuwe beveiligingskwetsbaarheden: CVE-2024-45216 en CVE-2024-45217. De kritieke kwetsbaarheid CVE-2024-45216 treft Solr-instances die de PKIAuthenticationPlugin gebruiken. Deze fout maakt het mogelijk voor aanvallers om authenticatie te omzeilen en ongeautoriseerd commando's uit te voeren of gegevens te benaderen. De tweede kwetsbaarheid, CVE-2024-45217, betreft een onveilige initialisatie van ConfigSets tijdens een backup restore opdracht. Dit kan leiden tot het uitvoeren van ongeautoriseerde code. Gebruikers wordt dringend aangeraden te upgraden naar Apache Solr 9.7.0 of 8.11.4 om deze kwetsbaarheden aan te pakken. Daarnaast wordt aanbevolen om authenticatie en autorisatie in te schakelen voor alle Solr-instances. Deze beveiligingsproblemen onderstrepen het belang van het up-to-date houden van software en het implementeren van robuuste beveiligingsmaatregelen. 1

Google heeft meerdere kritieke kwetsbaarheden verholpen in Pixel-telefoons. Het gaat om vijf beveiligingslekken die aanwezig waren in de modem, het Trusty-besturingssysteem en Advanced Configuration and Power Management (ACPM). Drie van de vijf kwetsbaarheden bevonden zich in Trusty. Deze kritieke lekken zouden aanvallers in het ergste geval volledige toegang tot telefoons kunnen geven zonder enige interactie van gebruikers. Bij alle vijf kwetsbaarheden is 'Elevation of privilege' mogelijk, waarbij een aanvaller met toegang tot een systeem zijn rechten kan verhogen of bepaalde permissies kan verkrijgen. Hoewel dergelijke lekken meestal niet als kritiek worden bestempeld, is dat in dit geval wel gebeurd. Google heeft geen verdere details vrijgegeven, maar roept alle Pixel-eigenaren op om de beveiligingsupdates te installeren zodra deze beschikbaar zijn. 1

Twee ernstige beveiligingslekken zijn ontdekt in de Ultimate Membership Pro plugin voor WordPress, een veelgebruikte tool voor het beheren van lidmaatschappen op websites. De eerste kwetsbaarheid (CVE-2024-43240) maakt het mogelijk voor ongeauthenticeerde gebruikers om zich te registreren voor elk lidmaatschapsniveau en de bijbehorende rechten te verkrijgen. De tweede kwetsbaarheid (CVE-2024-43242) stelt aanvallers in staat om kwaadaardige code uit te voeren op de website door misbruik te maken van onveilige deserialisatie.

Gezien de plugin door ongeveer 40.000 websites wordt gebruikt, vormen deze kwetsbaarheden een aanzienlijk risico. Aanvallers zouden ongeautoriseerde toegang kunnen krijgen tot gevoelige delen van een website of zelfs de hele site kunnen compromitteren. Websitebeheerders die deze plugin gebruiken, wordt dringend aangeraden zo snel mogelijk te updaten naar versie 16.8 om deze beveiligingsrisico's te mitigeren. Ook is het raadzaam om de beveiligingsinstellingen te controleren en invoervalidatie te implementeren. 1

Microsoft heeft een nieuwe kwetsbaarheid in macOS ontdekt, genaamd "HM Surf". Deze kwetsbaarheid stelt aanvallers in staat om de beveiliging van het Transparency, Consent, and Control (TCC) systeem te omzeilen. Hierdoor kunnen zij ongeautoriseerde toegang krijgen tot gevoelige gegevens zoals de browsegeschiedenis, camerabeelden, microfoon en locatie, zonder dat de gebruiker hiervan op de hoogte is. De aanval maakt gebruik van een configuratiebestand in de Safari-map om deze bescherming te omzeilen.

Apple heeft inmiddels een beveiligingsupdate uitgebracht die dit probleem oplost, als onderdeel van macOS Sequoia. Gebruikers worden sterk aangeraden deze update zo snel mogelijk te installeren. Microsoft Defender voor Endpoint biedt extra bescherming door het detecteren en blokkeren van activiteiten die met deze kwetsbaarheid verband houden. Het is van groot belang dat gebruikers hun systemen regelmatig bijwerken en beveiligingsmaatregelen blijven volgen om dit soort dreigingen te voorkomen. 1

Cisco heeft onlangs ernstige kwetsbaarheden ontdekt in de firmware van de Cisco ATA 190 Series Analog Telephone Adapter, zowel voor on-premise als multiplatform modellen. Deze kwetsbaarheden kunnen aanvallers in staat stellen om ongeautoriseerde toegang te krijgen, apparaatconfiguraties te manipuleren, commando's uit te voeren als root-gebruiker en zelfs een denial-of-service (DoS) aanval uit te voeren.

Een van de meest kritieke kwetsbaarheden, aangeduid als CVE-2024-20458, maakt het voor ongeauthenticeerde aanvallers mogelijk om de firmware te bekijken, te verwijderen of te wijzigen door een specifieke URL te benaderen. Daarnaast kunnen aanvallers met voldoende rechten via CVE-2024-20459 willekeurige commando's als root uitvoeren.

Andere kwetsbaarheden omvatten risico's zoals cross-site scripting (XSS) en cross-site request forgery (CSRF). Cisco heeft firmware-updates uitgebracht om deze beveiligingsproblemen te verhelpen en adviseert gebruikers om zo snel mogelijk te updaten om verdere risico's te beperken. 1

Een nieuwe kwetsbaarheid, CVE-2024-38819, is ontdekt in het populaire Spring Framework. Deze kwetsbaarheid heeft een CVSS-score van 7.5, wat wijst op een aanzienlijke bedreiging voor webapplicaties die statische bronnen aanbieden via WebMvc.fn of WebFlux.fn. De kwetsbaarheid maakt het mogelijk voor aanvallers om via speciaal ontworpen HTTP-verzoeken bestanden te benaderen die toegankelijk zijn voor het proces waarin de applicatie draait. Hierdoor kunnen gevoelige gegevens, zoals configuratiebestanden of inloggegevens, worden gestolen. Het probleem treft meerdere versies van Spring, waaronder 5.3.0 tot 5.3.40 en 6.0.0 tot 6.1.13. Gebruikers van deze versies worden dringend geadviseerd om te updaten naar de gepatchte versies om de beveiligingsrisico's te mitigeren. De kwetsbaarheid is gerapporteerd door beveiligingsonderzoekers van Aeye Security Lab en er zijn inmiddels updates beschikbaar om dit lek te dichten. 1

Een ernstige kwetsbaarheid, CVE-2024-45844, is ontdekt in F5 BIG-IP, een populair netwerkverkeer- en beveiligingsplatform. Deze kwetsbaarheid, met een CVSSv4-score van 8.6, stelt geauthenticeerde aanvallers in staat om toegangscontroles te omzeilen en mogelijk het systeem over te nemen. Het probleem ligt in de "monitor"-functionaliteit van BIG-IP, waardoor een aanvaller met minstens "Manager"-rechten zijn privileges kan verhogen en de configuratie kan aanpassen. Hierdoor kan ongeautoriseerde toegang worden verkregen, zelfs als poortbeperkingen zijn ingesteld.

De kwetsbaarheid treft meerdere versies van BIG-IP en kan leiden tot escalatie van rechten, wijziging van configuraties en mogelijk volledige systeemcompromittering. Hoewel het probleem beperkt is tot het controlevlak, blijven de gevolgen ernstig, zoals het verkrijgen van gevoelige informatie of het verstoren van netwerkverkeer. Het is van cruciaal belang dat gebruikers de aanbevolen updates zo snel mogelijk installeren. Tijdelijke maatregelen kunnen bestaan uit het beperken van toegang tot kritieke onderdelen van het systeem.

Bron: 1

SolarWinds heeft een ernstige kwetsbaarheid geïdentificeerd in hun Web Help Desk (WHD) platform, aangeduid als CVE-2024-28988. Deze kwetsbaarheid, met een CVSS-score van 9.8, stelt aanvallers in staat om op afstand willekeurige commando's uit te voeren op het systeem dat de software host. Dit brengt organisaties die de software gebruiken, zoals overheidsinstellingen en grote bedrijven, in gevaar. De kwetsbaarheid wordt veroorzaakt door een Java Deserialization probleem, dat misbruikt kan worden voor remote code execution (RCE). Hierdoor kunnen aanvallers onbeperkte toegang krijgen tot het systeem.

SolarWinds heeft snel gereageerd met een update die deze kwetsbaarheid aanpakt. Alle gebruikers van SolarWinds Web Help Desk worden dringend geadviseerd om zo snel mogelijk te updaten naar versie 12.8.3 HF3 om hun systemen te beveiligen. Eerdere versies zijn kwetsbaar en kunnen door kwaadwillenden worden misbruikt. Dit is vooral zorgwekkend omdat SolarWinds al eerder het doelwit is geweest van aanvallen.

Bron: 1

Er is een ernstige kwetsbaarheid ontdekt in Grafana, een populair open-source platform voor monitoring en observatie. Deze kwetsbaarheid, met een CVSS-score van 9.9, maakt het mogelijk voor aanvallers om willekeurige code uit te voeren op getroffen systemen, wat kan leiden tot volledige systeemovername. Het probleem ligt bij een experimentele functie genaamd "SQL Expressions", waarbij SQL-queries niet voldoende gesaniteerd werden. Hierdoor kunnen aanvallers opdrachten uitvoeren of toegang krijgen tot gevoelige bestanden op de server. Gebruikers met kijkrechten of hoger zijn in staat deze aanval uit te voeren.

De kwetsbaarheid is standaard ingeschakeld door een fout in de implementatie van feature flags, wat het risico vergroot voor systemen waar de DuckDB-binary beschikbaar is. Grafana Labs heeft snel gereageerd met beveiligingspatches voor alle getroffen versies van Grafana 11 en adviseert gebruikers dringend te updaten naar de nieuwste beveiligde versie. Als tijdelijke maatregel kunnen gebruikers DuckDB van hun systeem verwijderen.

Bron: 1

Microsoft-onderzoekers hebben een nieuwe kwetsbaarheid ontdekt in macOS, waarmee aanvallers toegang kunnen krijgen tot beschermde gegevens. De kwetsbaarheid maakt gebruik van een fout in het Transparency, Consent, and Control (TCC) systeem, dat normaal gesproken voorkomt dat apps zonder toestemming toegang krijgen tot persoonlijke informatie zoals de camera, microfoon of locatie. Door deze kwetsbaarheid kunnen aanvallers de beveiliging van de Safari-browserdirectory omzeilen en zo toegang krijgen tot gevoelige gegevens.

Apple heeft op 16 september 2024 een patch uitgebracht om deze kwetsbaarheid te verhelpen. Het wordt sterk aangeraden dat gebruikers de beveiligingsupdates zo snel mogelijk toepassen. Er is al verdachte activiteit waargenomen, mogelijk gerelateerd aan deze kwetsbaarheid, waarbij gebruik wordt gemaakt van de Adload-malwarefamilie. Hiermee kunnen aanvallers onder andere toegang krijgen tot wachtwoorden en toegangsmachtigingen voor de microfoon en camera omzeilen.

Bron: 1

Bitdefender heeft een dringende waarschuwing uitgebracht voor drie kritieke kwetsbaarheden in de HTTPS-scanningsfunctie van zijn Total Security-product. Deze kwetsbaarheden, geregistreerd onder de codes CVE-2023-6055, CVE-2023-6056 en CVE-2023-6057, kunnen door aanvallers worden misbruikt om communicatie te onderscheppen en te manipuleren. Hierdoor kunnen gevoelige gegevens, zoals inloggegevens of financiële informatie, worden blootgesteld. De kwetsbaarheden ontstaan door gebrekkige certificaatvalidatie, waarbij onder andere zelf-ondertekende certificaten en verouderde encryptie-algoritmes onveilig worden vertrouwd. Deze problemen kunnen leiden tot Man-in-the-Middle-aanvallen, waarmee kwaadwillenden toegang krijgen tot de communicatie van gebruikers. Bitdefender heeft snel gereageerd door een update uit te brengen naar versie 27.0.25.115, die deze kwetsbaarheden verhelpt. Gebruikers wordt aangeraden om hun software onmiddellijk bij te werken om verdere risico's te voorkomen. Dit incident benadrukt het belang van regelmatige updates, zelfs bij beveiligingssoftware.

Bron: 1

Hikvision, een toonaangevende leverancier van AIoT en videobewakingsoplossingen, heeft drie beveiligingslekken gemeld in hun HikCentral Master Lite en Professional software. Deze kwetsbaarheden (CVE-2024-47485, CVE-2024-47486, en CVE-2024-47487) stellen aanvallers in staat om schadelijke code uit te voeren, gevoelige informatie te stelen of de werking van systemen te verstoren.

De specifieke zwakke punten omvatten CSV-injectie, cross-site scripting (XSS), en SQL-injectie. Aanvallers kunnen via deze lekken kwaadaardige gegevens in CSV-bestanden injecteren, gebruikers naar malafide websites leiden, of toegang krijgen tot gevoelige gegevens in de database.

Hikvision heeft snel gereageerd door updates vrij te geven voor de getroffen softwareversies. Gebruikers worden sterk aangeraden om hun systemen bij te werken naar de nieuwste versies om mogelijke exploits te voorkomen.

Bron: 1

Synology heeft kritieke kwetsbaarheden ontdekt in hun beveiligingscamera's en BeeStation NAS-apparaten, waarmee kwaadwillenden op afstand de apparaten kunnen overnemen. Aanvallers kunnen willekeurige code uitvoeren, beveiligingsmaatregelen omzeilen en zelfs denial-of-service aanvallen uitvoeren op de Synology Camera BC500, TC500 en CC400W. Om gebruikers te beschermen, heeft Synology firmware-updates uitgebracht. Gebruikers van deze apparaten wordt sterk aangeraden hun camera's te updaten naar versie 1.1.3-0442 of nieuwer.

Daarnaast heeft Synology ook een kritieke update uitgebracht voor de BeeStation Manager, de software van hun eenvoudige NAS-apparaat. Deze kwetsbaarheid stelt aanvallers in staat om op afstand toegang te krijgen tot het apparaat en willekeurige code uit te voeren. Gebruikers van de BeeStation NAS wordt geadviseerd om hun systeem te updaten naar versie 1.1-65373 of nieuwer om hun netwerk te beveiligen.

Synology heeft geen specifieke CVE-nummers aan de kwetsbaarheden toegekend en verdere details zijn niet verstrekt.

Bron: 1

Een ernstige kwetsbaarheid, bekend als CVE-2024-48914, is ontdekt in het open-source Vendure e-commerce platform. Deze kwetsbaarheid, met een CVSS-score van 9.1, maakt het mogelijk voor aanvallers om willekeurige bestanden van de server te lezen. Dit kan gevoelige informatie blootleggen, zoals configuratiebestanden en omgevingsvariabelen. De fout zit in de AssetServerPlugin wanneer deze wordt gebruikt met de LocalAssetStorageStrategy. Door path traversal kan een aanvaller toegang krijgen tot bestanden buiten de bedoelde map.

De kwetsbaarheid werd ontdekt door beveiligingsonderzoeker Rajesh Sharma, die ook een Denial-of-Service (DoS) vector vond in dezelfde code. Vendure heeft de fout opgelost in versies 3.0.5 en 2.3.3 en gebruikers worden dringend geadviseerd om hun installaties te updaten. Alternatief kan men overstappen op object storage of beveiligingsmaatregelen toepassen om aanvallen te blokkeren.

Bron: 1

Onderzoekers van Unit 42 hebben een zwakte in macOS's Gatekeeper-beveiliging ontdekt. Gatekeeper zorgt ervoor dat alleen vertrouwde applicaties op macOS-systemen worden uitgevoerd. Dit wordt gedaan door bestanden die van internet worden gedownload te controleren op een "quarantaine" attribuut. Helaas blijkt uit het onderzoek dat veel externe software en zelfs Apple's eigen command-line tools dit attribuut niet correct toepassen. Hierdoor kunnen schadelijke applicaties de beveiliging omzeilen en worden uitgevoerd zonder dat ze door Gatekeeper worden gecontroleerd. Onder andere archiveringsprogramma's zoals iZip, BetterZip en virtualisatiesoftware zoals VMware Fusion zijn kwetsbaar. Zelfs tools zoals curl en SCP van Apple zelf handhaven de quarantaine-attributen niet, wat aanvallers een kans biedt om schadelijke bestanden binnen te smokkelen. Hoewel sommige ontwikkelaars al updates hebben uitgebracht, blijft het vertrouwen van Apple op externe ontwikkelaars een veiligheidsrisico.

Bron: 1

CVE-2024-10025, een nieuw ontdekte kwetsbaarheid in verschillende producten van SICK, vormt een ernstige bedreiging voor bedrijven die vertrouwen op hun automatiserings- en sensortechnologieën. Met een CVSS-score van 9.1 is de kwetsbaarheid geclassificeerd als kritiek. De kwetsbaarheid bevindt zich in de .sdd-bestanden van onder andere de CLV6xx, Lector6xx en RFx6xx-modellen. De oorzaak is het gebruik van hardcoded wachtwoorden die in platte tekst worden opgeslagen. Als deze standaardwachtwoorden niet zijn aangepast, kunnen aanvallers zich zonder authenticatie toegang verschaffen tot het systeem als "geautoriseerde client".

SICK heeft een update uitgebracht om het probleem op te lossen en adviseert gebruikers dringend om hun standaardwachtwoorden onmiddellijk te wijzigen. Als de kwetsbaarheid wordt uitgebuit, kunnen aanvallers de functionaliteit van de getroffen apparaten aanpassen of uitschakelen, wat ernstige verstoringen kan veroorzaken in sectoren zoals logistiek, productie en gezondheidszorg.

Bron: 1

Een beveiligingsonderzoeker heeft een privilege escalation-kwetsbaarheid ontdekt in de Kernel Streaming-service van Microsoft Windows. De kwetsbaarheid, aangeduid als CVE-2024-30090, stelt aanvallers potentieel in staat om SYSTEM-rechten te verkrijgen op kwetsbare Windows-systemen. Het probleem ontstaat door een race condition die kan worden uitgebuit om privilegecontroles te manipuleren. Door de kwetsbaarheid kunnen aanvallers de systeem-checks omzeilen en hogere toegangsrechten verkrijgen zonder administratieve controle. Een proof-of-concept exploit is gepubliceerd op GitHub, wat de urgentie voor patching verhoogt. Microsoft heeft de kwetsbaarheid gepatcht in de juni 2024 Patch Tuesday-update. Gebruikers worden sterk aangeraden deze update direct toe te passen om potentiële aanvallen te voorkomen. De kwetsbaarheid heeft een CVSS-score van 7.0 gekregen, wat de ernst ervan onderstreept.

Bron: 1

Oracle heeft in zijn oktober 2024 updatepakket 329 kwetsbaarheden verholpen, waaronder vijf ernstige in de Oracle WebLogic Server Core component. De meest gevaarlijke hiervan is CVE-2024-21216 met een CVSS-score van 9.8. Deze kwetsbaarheid stelt een aanvaller zonder authenticatie in staat om op afstand volledige controle over de server te krijgen via de T3- of IIOP-protocollen. Vier andere kwetsbaarheden kunnen leiden tot denial-of-service of ongeautoriseerde toegang tot kritieke data.

De kwetsbaarheden treffen WebLogic Server versies 12.2.1.4.0 en 14.1.1.0.0. Omdat T3 en IIOP standaard ingeschakeld zijn, zijn deze kwetsbaarheden extra zorgwekkend. Oracle heeft patches uitgebracht en dringt er bij alle gebruikers op aan deze onmiddellijk toe te passen, vooral voor WebLogic-instanties die de T3- en IIOP-protocollen aan het internet blootstellen. Zonder de patches lopen organisaties een verhoogd risico op aanvallen en ernstige operationele verstoringen.

Bron: 1

Rackspace, een grote aanbieder van cloudoplossingen, heeft een beveiligingsincident gemeld veroorzaakt door een zero-day kwetsbaarheid in de ScienceLogic EM7 monitoring tool. Deze kwetsbaarheid, bekend als CVE-2024-9537, heeft een CVSS-score van 9.8 en maakt het mogelijk voor kwaadwillenden om op afstand code uit te voeren, wat potentieel toegang geeft tot gevoelige gegevens. Op 24 september 2024 ontdekte Rackspace verdachte activiteiten binnen hun monitoringsysteem, wat leidde tot de ontdekking van de exploit. De aanval bleef beperkt tot prestatiemonitoringsdata zoals gebruikersnamen, IP-adressen, en interne apparaat-ID’s, maar gevoelige informatie zoals wachtwoorden of financiële gegevens werden niet gecompromitteerd. Rackspace heeft onmiddellijk actie ondernomen en samen met ScienceLogic een patch ontwikkeld, die nu beschikbaar is voor alle gebruikers. Klanten zijn geïnformeerd en hoeven geen verdere stappen te ondernemen.

Bron: 1

Een ernstige kwetsbaarheid in BattlEye, een populair anti-cheat systeem voor online games, is ontdekt. Deze zogeheten "BannleEye"-exploit, geïdentificeerd door beveiligingsonderzoeker timoxa565, stelt aanvallers in staat om gebruikersaccounts onterecht te bannen. De kwetsbaarheid maakt misbruik van de communicatie tussen de client- en servercomponenten van BattlEye. Door de authenticatie om te leiden naar een nepserver, kunnen aanvallers gegevens manipuleren en valse beschuldigingen van vals spel aan spelers koppelen, zelfs als ze offline zijn.

De kwetsbaarheid benadrukt de zwakke punten van server-side anti-cheat systemen die vertrouwen op standaard servervalidatie. Hoewel BattlEye bevestigt dat slechts enkele spellen getroffen zijn, heeft het bedrijf maatregelen aangekondigd om onterechte bans te kunnen corrigeren. Er wordt aangeraden om unieke sleutels te implementeren per spel om dergelijke aanvallen te voorkomen.

Bron: 1

Een onderzoeker van Akamai, Stiv Kupchik, heeft details en een proof-of-concept (PoC) gepubliceerd voor een ernstige kwetsbaarheid in Microsoft’s Remote Registry client, aangeduid als CVE-2024-43532. Deze kwetsbaarheid, met een CVSS-score van 8.8, maakt gebruik van een zwak punt in de fallback-mechanismen van de WinReg client. Wanneer de voorkeurs-SMB-verbinding niet beschikbaar is, schakelt het systeem over naar verouderde en onveilige protocollen. Hierdoor kunnen aanvallers NTLM-authenticatiegegevens onderscheppen en doorsturen naar andere systemen, zoals Active Directory Certificate Services (ADCS), om toegang te verkrijgen tot gevoelige systemen.

Het probleem is ontstaan door verouderde authenticatiemethoden binnen Microsoft’s Remote Procedure Call (RPC) framework. De kwetsbaarheid werd in februari 2024 gerapporteerd en Microsoft heeft een patch uitgebracht tijdens Patch Tuesday in oktober 2024. De update verhelpt het gebruik van onveilige protocollen bij SMB-fouten.

Bron: 1

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een kritieke kwetsbaarheid in ScienceLogic SL1 toegevoegd aan hun catalogus van bekende misbruikte kwetsbaarheden. Deze kwetsbaarheid, aangeduid als CVE-2024-9537, maakt misbruik mogelijk via een fout in een derde partij component en kan leiden tot het uitvoeren van kwaadaardige code op afstand. De kwetsbaarheid werd actief uitgebuit als een zero-day, wat betekent dat aanvallers hiervan gebruik maakten voordat een patch beschikbaar was.

ScienceLogic heeft inmiddels beveiligingsupdates uitgebracht voor meerdere versies van het platform om dit probleem te verhelpen. Organisaties, waaronder Rackspace, zijn getroffen door deze aanval, waarbij onbevoegde toegang werd verkregen tot interne systemen. CISA heeft overheidsinstanties opgedragen de nodige patches uiterlijk 11 november 2024 te implementeren om verdere risico's te minimaliseren.

Bron: 1

Een ernstige beveiligingslek (CVE-2024-45309) is ontdekt en gepatcht in OneDev, een populair open-source DevOps platform. Deze kwetsbaarheid stelde niet-geauthenticeerde aanvallers in staat om willekeurige bestanden te lezen die toegankelijk waren voor het OneDev serverproces, waardoor gevoelige informatie zoals broncode, configuratiebestanden en gebruikersgegevens mogelijk blootgesteld konden worden.

Het lek, dat een CVSS-score van 8,7 kreeg, vormde een ernstig beveiligingsrisico voor organisaties die OneDev versies 11.0.8 en eerder gebruikten. Misbruik van deze kwetsbaarheid kon ernstige gevolgen hebben, waaronder datalekken, diefstal van intellectueel eigendom en systeemcompromittering.

Het OneDev ontwikkelteam heeft de kwetsbaarheid verholpen in versie 11.0.9. Alle gebruikers worden dringend geadviseerd om onmiddellijk te updaten naar de nieuwste versie om de beveiliging van hun systemen te waarborgen.

Bron: 1

VMware heeft een update uitgebracht voor een ernstige beveiligingslek in vCenter Server, bekend als CVE-2024-38812. Deze kwetsbaarheid, met een CVSS-score van 9.8, betreft een heap-overflow probleem in de implementatie van het DCE/RPC-protocol. Kwaadwillenden met netwerktoegang tot vCenter Server kunnen deze kwetsbaarheid mogelijk misbruiken voor het uitvoeren van code op afstand. De fout werd oorspronkelijk ontdekt tijdens een cybersecurity-competitie in China. VMware erkent dat eerdere patches het probleem niet volledig hadden opgelost. Updates zijn nu beschikbaar voor verschillende versies van vCenter Server en VMware Cloud Foundation. Hoewel er geen bewijs is van actieve exploitatie, worden gebruikers dringend geadviseerd hun systemen bij te werken om potentiële dreigingen te voorkomen.

Bron: 1

Er is een ernstige beveiligingslek gevonden in de guix-daemon van het Guix-systeem. Deze kwetsbaarheid stelt lokale gebruikers in staat om rechten te verhogen en mogelijk de uitvoer van builds te manipuleren in omgevingen met meerdere gebruikers. Het probleem zit in de manier waarop guix-daemon omgaat met mislukte builds. Een aanvaller kan hierdoor een binary met speciale rechten genereren en uitvoeren met verhoogde privileges. Dit is vooral gevaarlijk op systemen met meerdere gebruikers.

Er zijn twee belangrijke fixes geïntroduceerd: het opschonen van rechten voor mislukte builds en het canoniseren van rechten voor succesvolle builds. Gebruikers worden dringend geadviseerd om hun guix-daemon onmiddellijk te upgraden. Voor Guix System gebruikers en degenen die Guix als pakketbeheerder gebruiken, worden specifieke upgrade-instructies gegeven. Het is cruciaal dat alle gebruikers deze update zo snel mogelijk doorvoeren om hun systemen te beveiligen.

Bron: 1

Red Hat heeft gewaarschuwd voor een ernstige kwetsbaarheid (CVE-2024-9050) in het NetworkManager-libreswan pakket voor Red Hat Enterprise Linux 9 systemen. Dit beveiligingslek stelt lokale aanvallers in staat om verhoogde rechten te krijgen en willekeurige code uit te voeren met root-privileges. De kwetsbaarheid wordt veroorzaakt door onvoldoende opschoning van VPN-configuraties, waardoor aanvallers kwaadaardige opdrachten kunnen injecteren via de leftupdownkey parameter. Dit is extra zorgwekkend omdat NetworkManager Polkit gebruikt om niet-geprivilegieerde gebruikers netwerkinstellingen te laten beheren. Red Hat heeft een patch uitgebracht voor Enterprise Linux 9.0 Update Services for SAP Solutions en adviseert gebruikers dringend hun systemen bij te werken. Als alternatieve oplossing stelt Red Hat voor om lokale gebruikers te verhinderen het netwerk te beheren via Polkit, hoewel dit ook legitieme acties zoals verbinden met Wi-Fi-netwerken zou blokkeren.

Bron: 1

Samsung heeft een kritieke beveiligingsupdate uitgebracht om CVE-2024-44068 aan te pakken, een ernstige kwetsbaarheid in apparaten met Exynos-processors. De fout, ontdekt door Xingyu Jin van Google, heeft een CVSS-score van 8.1 en wordt veroorzaakt door onjuist geheugenbeheer in de m2m1shot_scaler0-driver. Deze driver is verantwoordelijk voor belangrijke beeldverwerkingstaken.

De kwetsbaarheid is aanwezig in verschillende Exynos-processormodellen en kan leiden tot een Use-After-Free (UAF) conditie. Hierdoor kunnen aanvallers mogelijk kwaadaardige code uitvoeren en systeemrechten verkrijgen via een Kernel Space Mirroring Attack (KSMA).

Samsung heeft het probleem opgelost in de SMR-Oct-2024 beveiligingsupdate door het objectreferentiebeheer voor PFNMAP-pagina's te herzien. Gebruikers worden dringend geadviseerd de update zo snel mogelijk te installeren om hun apparaten te beschermen tegen mogelijke exploitatie.

Bron: 1

Google heeft een belangrijke update uitgebracht voor de Chrome browser om drie ernstige beveiligingsproblemen aan te pakken. De update betreft versies 130.0.6723.69/.70 voor Windows en Mac, en 130.0.6723.69 voor Linux.

De drie kwetsbaarheden (CVE-2024-10229, CVE-2024-10230 en CVE-2024-10231) werden ontdekt door externe beveiligingsonderzoekers. De eerste kwetsbaarheid heeft betrekking op een onjuiste implementatie in browser-extensies, ontdekt door Vsevolod Kokorin. De andere twee kwetsbaarheden betreffen 'Type Confusion' problemen in de V8 JavaScript-engine, gemeld door Seunghyun Lee.

Deze beveiligingsproblemen kunnen mogelijk leiden tot ongeautoriseerde toegang tot gebruikersgegevens, malware-infecties of zelfs volledige systeemcompromittering. Chrome wordt normaal gesproken automatisch bijgewerkt, maar gebruikers kunnen ook handmatig controleren op updates via het menu "Help" > "Over Google Chrome".

Bron: 1

Fortinet heeft een waarschuwing uitgebracht voor een kritieke kwetsbaarheid in hun FortiManager en FortiManager Cloud systemen. Het beveiligingslek, bekend als CVE-2024-47575, maakt het mogelijk voor ongeauthenticeerde aanvallers om systemen op afstand over te nemen. De kwetsbaarheid heeft een zeer hoge ernst-score van 9.8 op een schaal van 10.

Het probleem wordt volgens beveiligingsexperts al actief misbruikt door statelijke actoren die via managed serviceproviders spionage-aanvallen uitvoeren. Door het versturen van speciaal geprepareerde verzoeken kunnen aanvallers willekeurige code of commando's uitvoeren op FortiManager systemen, waardoor ze volledige controle kunnen krijgen.

Fortinet heeft inmiddels een beveiligingsupdate uitgebracht en roept alle klanten met klem op deze zo snel mogelijk te installeren. Het bedrijf heeft niet bekendgemaakt sinds wanneer er precies misbruik wordt gemaakt van deze kwetsbaarheid.

Bron: 1

Tijdens de eerste dag van Pwn2Own Ireland 2024 hebben deelnemers maar liefst 52 zero-day kwetsbaarheden aangetoond in verschillende apparaten, wat resulteerde in $486.250 aan prijzengeld. Viettel Cyber Security nam de leiding met 13 punten in de strijd om de "Master of Pwn" titel. Een hoogtepunt was de prestatie van Sina Kheirkhah van het Summoning Team, die met een keten van negen kwetsbaarheden $100.000 en 10 punten verdiende.

Andere opmerkelijke prestaties waren onder meer de succesvolle hack van een Sonos Era 300 smart speaker door Jack Dates van RET2 Systems, en verschillende exploits op printers, NAS-systemen en beveiligingscamera's. Niet alle pogingen waren succesvol; sommige teams liepen tegen tijdsproblemen aan of ondervonden technische uitdagingen.

De competitie duurt nog drie dagen waarin deelnemers verder gaan met het zoeken naar beveiligingsproblemen in volledig gepatchte SOHO-apparaten, waarbij ze strijden om een deel van de totale prijzenpot van $1 miljoen.

Bron: 1

GitLab heeft een belangrijke beveiligingsupdate uitgebracht om twee ernstige kwetsbaarheden aan te pakken in zowel de Community Edition (CE) als Enterprise Edition (EE) van hun software. De eerste kwetsbaarheid, CVE-2024-8312, heeft een hoge ernst (CVSS:3.1-score van 8.7) en maakt het mogelijk voor aanvallers om kwaadaardige HTML-code te injecteren via het Global Search-veld in een diff-weergave, wat kan leiden tot Cross-Site Scripting (XSS) aanvallen.

De tweede kwetsbaarheid, CVE-2024-6826, is een Denial of Service (DoS) kwetsbaarheid met gemiddelde ernst (CVSS:3.1-score van 6.5) waarbij aanvallers de server kunnen overbelasten via een gemanipuleerd XML-manifestbestand.

De kwetsbaarheden treffen alle GitLab-versies van 15.10 tot 17.3.6, 17.4 tot 17.4.3 en 17.5 tot 17.5.1. GitLab adviseert alle gebruikers om zo snel mogelijk te upgraden naar de nieuwste versies (17.5.1, 17.4.3 of 17.3.6) om deze beveiligingsproblemen op te lossen.

Bron: 1

Cisco heeft een beveiligingswaarschuwing afgegeven voor een ernstige kwetsbaarheid in de SSH-subsysteem van hun Adaptive Security Appliance (ASA) software. Deze kwetsbaarheid, aangeduid als CVE-2024-20329 met een CVSS-score van 9.9, kan een aanvaller met beperkte rechten in staat stellen om root-commando’s uit te voeren. Dit biedt de aanvaller volledige controle over het systeem.

De kwetsbaarheid ontstaat door onvoldoende validatie van gebruikersinvoer bij het uitvoeren van SSH-commando’s. Hierdoor kunnen aanvallers misbruik maken van deze fout door speciaal gemaakte invoer in te voeren via de remote command line interface (CLI). Het probleem treft Cisco ASA-apparaten die kwetsbare softwareversies draaien met de CiscoSSH-stack ingeschakeld.

Cisco heeft software-updates uitgebracht om deze kwetsbaarheid te verhelpen en raadt aan om zo snel mogelijk te updaten. Als tijdelijke oplossing kunnen gebruikers de CiscoSSH-stack uitschakelen om het risico te beperken.

Bron: 1

Cisco heeft een kritieke kwetsbaarheid (CVE-2024-20412) in hun Firepower Threat Defense (FTD) software onthuld, die een groot risico vormt voor organisaties. Deze fout treft Firepower-apparaten van de series 1000, 2100, 3100 en 4200 en heeft een CVSS-score van 9.3. De kwetsbaarheid maakt het mogelijk voor onbevoegde aanvallers om statische, ingebouwde inloggegevens te misbruiken om toegang te krijgen tot de command-line interface (CLI) van deze apparaten.

Een aanvaller kan deze fout benutten door in te loggen met hardcoded wachtwoorden, wat kan leiden tot het verkrijgen van gevoelige informatie of het verstoren van de werking van het apparaat. Cisco adviseert beheerders om hun FTD-software zo snel mogelijk te updaten naar een gepatchte versie of, indien niet mogelijk, tijdelijke maatregelen te nemen, zoals het beperken van lokale toegang.

Hoewel er nog geen meldingen zijn van misbruik, wordt organisaties geadviseerd om prioriteit te geven aan de beveiliging van hun netwerken.

Bron: 1

Cisco heeft een beveiligingslek (CVE-2024-20481) ontdekt in zijn Adaptive Security Appliance (ASA) en Firepower Threat Defense (FTD) software, dat actief wordt uitgebuit. Dit lek kan door aanvallers worden misbruikt om denial-of-service (DoS)-aanvallen uit te voeren op Remote Access VPN (RAVPN)-diensten. De kwetsbaarheid, met een CVSS-score van 5.8, stelt aanvallers in staat om door het versturen van grote aantallen VPN-authenticatieverzoeken de middelen van een getroffen apparaat uit te putten, wat leidt tot het uitvallen van de VPN-dienst. Andere diensten blijven echter onaangetast.

Cisco raadt gebruikers aan om hun systemen te controleren met een specifieke commandoregel en snel te updaten naar een nieuwe softwareversie, aangezien er geen tijdelijke oplossingen zijn. Deze update is essentieel om verdere aanvallen te voorkomen en de continuïteit van bedrijfsactiviteiten te waarborgen.

Bron: 1

Cisco heeft een belangrijke beveiligingswaarschuwing afgegeven over een command injection-kwetsbaarheid in hun Secure Firewall Management Center (FMC) Software. Deze kwetsbaarheid, aangeduid als CVE-2024-20424, heeft een CVSS-score van 9.9. Een aanvaller met externe toegang kan hiermee willekeurige opdrachten uitvoeren op het onderliggende besturingssysteem met root-rechten. Dit wordt mogelijk gemaakt door onvoldoende validatie van bepaalde HTTP-verzoeken in de webinterface van Cisco FMC.

De kwetsbaarheid treft alle versies van de Cisco FMC-software, ongeacht de configuratie van het apparaat. Aanvallers kunnen via een laaggeautoriseerd account, zoals een ‘Security Analyst (Read Only)’, escaleren naar volledige controle over het systeem. Er zijn geen bekende werkarounds; Cisco adviseert dringend om software-updates te installeren om dit beveiligingslek te dichten. Hoewel er geen meldingen zijn van misbruik in het wild, vormt de ernst van de kwetsbaarheid een aantrekkelijk doelwit voor aanvallers.

Bron: 1

NVIDIA heeft updates uitgebracht om verschillende beveiligingslekken in de GPU Display Driver voor zowel Windows als Linux te verhelpen. Een van de meest kritieke kwetsbaarheden, CVE-2024-0126, heeft een CVSS-score van 8.2 en kan door een aanvaller worden misbruikt om ongeoorloofde toegang te krijgen tot het systeem, wat kan leiden tot code-uitvoering, privilege-escalatie of een denial of service (DoS)-aanval.

Andere kwetsbaarheden, zoals CVE-2024-0117 en CVE-2024-0118, treffen specifiek Windows-gebruikers en kunnen zorgen voor uitbuiting door ongeautoriseerde gebruikers, met mogelijke gevolgen zoals datalekken, privilege-escalatie en systeemuitval. Gebruikers worden sterk aangeraden hun drivers te updaten naar de laatste versie via de officiële kanalen van NVIDIA om deze beveiligingsproblemen te verhelpen.

Bron: 1

Onderzoekers van Aqua Security hebben een ernstige kwetsbaarheid ontdekt in het AWS Cloud Development Kit (CDK). Deze kwetsbaarheid kan leiden tot een volledige overname van een AWS-account als bepaalde voorwaarden worden vervuld, met name als een S3-stagingbucket ontbreekt. AWS CDK maakt het mogelijk om cloudinfrastructuur te definiëren en te beheren, waarbij een S3-bucket automatisch wordt aangemaakt om implementatiemiddelen op te slaan. Als deze bucket ontbreekt of is verwijderd, kunnen aanvallers een bucket met dezelfde naam aanmaken. Dit staat bekend als “bucket sniping”. Hiermee kunnen aanvallers de deploymentprocessen manipuleren en mogelijk schadelijke code of privileges toevoegen, wat kan leiden tot een volledige accountovername. AWS heeft inmiddels een update uitgebracht (v2.149.0) om dit probleem op te lossen, maar gebruikers moeten ervoor zorgen dat hun CDK-omgevingen goed zijn geconfigureerd om het risico te verminderen.

Bron: 1

Een ernstige kwetsbaarheid (CVE-2024-40595) is ontdekt in One Identity Safeguard voor Privileged Sessions (SPS), waarmee aanvallers authenticatie kunnen omzeilen en ongeautoriseerde toegang kunnen krijgen tot geprivilegieerde sessies. Dit probleem treft de RDP-component van SPS, waarbij gevoelige informatie in platte tekst wordt verzonden tijdens het opzetten van de verbinding. Hierdoor kunnen man-in-the-middle-aanvallen worden uitgevoerd, waarbij de aanvaller toegang krijgt tot deze sessies.

Deze kwetsbaarheid is aanwezig in alle LTS-versies van SPS vóór 7.0.5.1 en alle feature-versies vóór 7.5.1. Hoewel de aanval alleen mogelijk is binnen een beperkt tijdsvenster en niet onopgemerkt kan plaatsvinden, vormen systemen met een credential store een groter risico. Andere protocollen dan RDP worden niet beïnvloed en het is aanbevolen om onmiddellijk de nieuwste patches te installeren om deze kwetsbaarheid te verhelpen.

Bron: 1

Een ernstige kwetsbaarheid (CVE-2024-47901) in het Siemens InterMesh-systeem is aan het licht gekomen, met een maximale CVSS-score van 10.0. Dit systeem wordt gebruikt in kritieke infrastructuren en industriële omgevingen voor het verzenden van alarmsignalen. De kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om willekeurige code uit te voeren met rootrechten op getroffen apparaten, wat een groot risico vormt voor de integriteit van het systeem.

De kwetsbaarheid ontstaat door onvoldoende validatie van invoerparameters in de webserver van de InterMesh-apparaten. Siemens heeft meerdere gerelateerde kwetsbaarheden ontdekt (CVE-2024-47902, CVE-2024-47903, en CVE-2024-47904) die samen de kans op aanvallen vergroten. Siemens adviseert gebruikers om de software onmiddellijk bij te werken naar de nieuwste versies om de risico's te beperken en toegang tot de InterMesh-netwerken alleen te verlenen aan vertrouwde systemen en personen.

Bron: 1

Een nieuwe kwetsbaarheid, aangeduid als CVE-2024-10327, is ontdekt in de iOS-versie van Okta Verify, een veelgebruikte app voor multi-factor authenticatie. Door deze kwetsbaarheid kunnen aanvallers ongeoorloofd toegang krijgen tot gebruikersaccounts, zelfs als gebruikers een inlogverzoek afwijzen. De fout, met een CVSS-score van 8.1 (hoog), treedt op wanneer gebruikers via de iOS ContextExtension-functie reageren op meldingen vanaf hun vergrendel- of startscherm, of via een Apple Watch. In bepaalde situaties kan een gebruiker die “Afwijzen” selecteert alsnog onbedoeld toegang verlenen.

De kwetsbaarheid treft versies 9.25.1 (beta) en 9.27.0 van Okta Verify, en komt voor bij gebruikers die de app hebben geïnstalleerd terwijl hun organisatie Okta Classic gebruikte. Okta adviseert gebruikers om hun versie te controleren en zo snel mogelijk te updaten naar versie 9.27.2 of hoger om risico’s te minimaliseren. Het bedrijf raadt beheerders tevens aan om hun logbestanden te analyseren op verdachte activiteiten.

Bron: 1

Er is een ernstige beveiligingsfout ontdekt in de populaire WordPress-plugin wpDiscuz, die meer dan 80.000 websites in gevaar brengt. Deze kwetsbaarheid, aangeduid als CVE-2024-9488, heeft een hoge risicoscore (CVSS 9.8) en maakt het mogelijk voor aanvallers om ongeautoriseerd toegang te krijgen tot gebruikersaccounts, inclusief accounts met beheerdersrechten. Het probleem ligt bij de verificatie tijdens het inloggen via sociale media, waarbij een aanvaller met kennis van het e-mailadres van een gebruiker toegang tot diens account kan verkrijgen.

Deze zwakte stelt kwaadwillenden in staat om volledige controle over de website te nemen, met risico's zoals het wijzigen van content, installeren van kwaadaardige plug-ins en het blokkeren van legitieme gebruikers. Beheerders van websites die wpDiscuz gebruiken, worden dringend aangeraden om onmiddellijk te updaten naar versie 7.6.25 om deze dreiging te verhelpen. Extra beveiligingsmaatregelen zoals het instellen van tweefactorauthenticatie en regelmatige beveiligingscontroles worden sterk aanbevolen.

Bron: 1

Onderzoekers hebben een nieuwe kwetsbaarheid ontdekt in WebRTC, de technologie die directe communicatie tussen browsers mogelijk maakt. Deze kwetsbaarheid, de DTLS "ClientHello" Race Condition, kan worden uitgebuit om Denial of Service (DoS)-aanvallen uit te voeren. Bij deze aanval sturen kwaadwillenden vervalste DTLS ClientHello-berichten naar het doelwit, wat kan leiden tot verstoringen in de verbinding als deze nepberichten eerder worden verwerkt dan de echte.

Het probleem ontstaat omdat WebRTC via UDP werkt, wat geen automatische bronverificatie biedt. Hierdoor kunnen aanvallers door middel van deze race condition legitieme verbindingen verstoren. De kwetsbaarheid treft zowel open-source als commerciële WebRTC-implementaties, waaronder Asterisk en Skype.

Als tegenmaatregel wordt aanbevolen dat ontwikkelaars striktere verificatie toepassen voor DTLS-berichten, zodat alleen berichten van vertrouwde bronnen worden geaccepteerd. Deze aanpassingen moeten in de WebRTC-standaarden worden geïntegreerd om de veiligheid van deze technologie in de toekomst te waarborgen.

Bron: 1

Progress Software heeft een ernstige kwetsbaarheid (CVE-2024-7763) geïdentificeerd in WhatsUp Gold, een populaire netwerkbewakingsoplossing. Deze kwetsbaarheid, met een CVSS-score van 9.8, stelt kwaadwillenden in staat om authenticatiecontroles te omzeilen en toegang te verkrijgen tot versleutelde gebruikersgegevens. Deze fout vormt een groot risico voor organisaties die kwetsbare versies van WhatsUp Gold gebruiken, omdat het ongeautoriseerde toegang tot netwerkbronnen mogelijk maakt.

De kwetsbaarheid, die alle WhatsUp Gold-versies vóór 2024.0.0 beïnvloedt, werd op 24 oktober 2024 openbaar gemaakt. Progress adviseert gebruikers om onmiddellijk te upgraden naar de nieuwste versie om veiligheidsrisico’s te verminderen. Naast CVE-2024-7763 heeft Progress ook andere ernstige kwetsbaarheden, zoals CVE-2024-6670 en CVE-2024-6671, onthuld, die misbruikt kunnen worden voor SQL-injecties en privileges verhoogde toegang geven aan aanvallers.

Beheerders kunnen verdachte activiteiten controleren via het Alerts Center in de instellingen van WhatsUp Gold om de netwerkintegriteit te bewaken.

Bron: 1

Een ernstige kwetsbaarheid, CVE-2024-38812, bedreigt VMware vCenter Server versie 8.0 U3a en lager. De fout, met een CVSS-score van 9.8, wordt veroorzaakt door een heap-overflow in het DCERPC-protocol, waardoor aanvallers mogelijk op afstand code kunnen uitvoeren (RCE). Deze kwetsbaarheid stelt aanvallers in staat om via zorgvuldig opgestelde netwerkpakketten het geheugen aan te passen, wat kan leiden tot volledige systeemcompromittering. De kwetsbaarheid maakt misbruik van een functie die de waarde van een bereikslijst verkeerd hanteert, wat geheugentoegang buiten normale grenzen mogelijk maakt.

VMware heeft dit probleem verholpen in versie 8.0 U3d, waarin strengere controles zijn ingebouwd om manipulatie van geheugenadressen te voorkomen. Bedrijven die oudere versies gebruiken, wordt sterk geadviseerd zo snel mogelijk te updaten naar versie 8.0 U3d om het risico op aanvallen te verminderen.

Bron: 1

De SUSE Rancher-beveiligingsteam heeft een waarschuwing uitgegeven voor een kritieke kwetsbaarheid (CVE-2022-45157) in Rancher, een platform voor containerbeheer dat bedrijven gebruiken om Kubernetes-omgevingen te beheren. Deze kwetsbaarheid, met een hoge CVSS-score van 9.1, zorgt ervoor dat vSphere Cloud Provider Interface (CPI) en Container Storage Interface (CSI) in sommige configuraties van Rancher in plattetekst worden opgeslagen. Dit maakt gevoelige inloggegevens toegankelijk voor onbevoegde gebruikers binnen bepaalde Rancher-configuraties.

De kwetsbaarheid treft voornamelijk gebruikers die clusters implementeren in vSphere-omgevingen via Rancher’s interface, Cluster Templates of Terraform. Rancher heeft patches uitgebracht in versies 2.8.9 en 2.9.3 en beveelt gebruikers aan om direct te updaten. Na het updaten moeten gebruikers een automatisch script uitvoeren om eventuele resterende risico’s te beperken. Voor versie 2.7 van Rancher is echter geen backport-patch beschikbaar, waardoor gebruikers wordt aangeraden over te stappen op een gepatchte versie.

Bron: 1

Synology heeft een belangrijke beveiligingsupdate uitgebracht voor Synology Photos en BeePhotos na de ontdekking van kwetsbaarheden tijdens de Pwn2Own 2024-competitie. Onderzoekers Pumpkin Chang en Orange Tsai van het DEVCORE Research Team demonstreerden hoe deze kwetsbaarheden, aangeduid als ZDI-CAN-25623, kunnen worden uitgebuit voor het uitvoeren van externe code op getroffen apparaten. Door een keten van zwakke punten, waaronder CRLF-injectie, authenticatie-bypass en SQL-injectie, konden zij volledige controle krijgen over een Synology BeeStation-apparaat.

Synology adviseert gebruikers dringend om hun software bij te werken naar de nieuwste versies (Synology Photos 1.7.0-0795 en BeePhotos 1.1.0-10053) om de beveiligingsrisico's te verminderen. Zonder deze updates lopen gebruikers risico op datalekken, verstoring van services en malwareverspreiding op hun netwerken. Het bedrijf benadrukt het belang van snelle actie om de veiligheid van gegevens en systemen te waarborgen.

Bron: 1

Een recent ontdekte kwetsbaarheid (CVE-2024-9264) in Grafana, een veelgebruikte open-source tool voor datavisualisatie, stelt aanvallers in staat om ongeautoriseerde SQL-opdrachten uit te voeren en gevoelige bestanden te benaderen. Deze kwetsbaarheid treft specifiek versies 11.0.x tot en met 11.2.x en krijgt een kritieke score van 9,9. Door gebruik te maken van de experimentele SQL-expressiefunctie, kunnen aanvallers met ‘viewer’-rechten commando’s injecteren via het achterliggende DuckDB-systeem, wat kan leiden tot command injection en local file inclusion (LFI).

De functie, standaard ingeschakeld in de API, ontbeert de juiste inputvalidatie, waardoor SQL-injecties mogelijk zijn. Voor succesvolle exploitatie moet DuckDB handmatig zijn geïnstalleerd, en de aanvaller dient netwerktoegang en minstens ‘viewer’-toegang tot Grafana te hebben. Een Proof-of-Concept (PoC) toont hoe aanvallers kritieke systeembestanden, zoals het wachtwoordbestand, kunnen uitlezen. Grafana heeft inmiddels updates uitgebracht om deze kwetsbaarheid te verhelpen, en gebruikers wordt dringend geadviseerd om hun systemen bij te werken.

Bron: 1

Er is een ernstige kwetsbaarheid ontdekt in RKE2, de Kubernetes-variant van Rancher, die vooral wordt gebruikt in hoogbeveiligde omgevingen zoals die van de Amerikaanse overheid. Deze kwetsbaarheid, bekend als CVE-2023-32197, heeft een CVSS-score van 9.1 en treft RKE2-installaties op Windows-nodes. Door onvoldoende beveiliging in de Access Control Lists (ACLs) kunnen ongeautoriseerde gebruikers toegang krijgen tot gevoelige bestanden, zoals configuratie- en logbestanden. Dit verhoogt het risico op privilege-escalatie waarbij kwaadwillenden kritieke rechten kunnen verwerven binnen het systeem.

Rancher heeft updates uitgebracht om deze kwetsbaarheid te verhelpen in de nieuwste RKE2-versies. Gebruikers wordt aangeraden om een nieuwe installatie uit te voeren op Windows-nodes om beveiligingsrisico’s te minimaliseren. Voor wie niet direct kan updaten, is een tijdelijke oplossing beschikbaar: via een PowerShell-script kunnen de ACL’s handmatig worden aangescherpt.

Bron: 1

Onderzoekers hebben een nieuwe techniek ontdekt waarmee kwaadwillenden de beveiliging van Microsoft Windows kunnen omzeilen. Door een zogenaamde "OS-downgrade" wordt het mogelijk om een volledig gepatcht Windows-systeem terug te zetten naar een oudere, kwetsbare versie. Deze aanval maakt gebruik van het uitschakelen van Microsofts Driver Signature Enforcement (DSE), waarmee ongetekende kernel drivers kunnen worden geladen. Hierdoor kunnen aanvallers rootkits installeren, beveiligingsfuncties omzeilen en verborgen activiteiten uitvoeren.

De aanval, aangeduid als “Windows Downdate,” maakt gebruik van race-condities om beveiligde Windows-bestanden te vervangen door aangepaste versies. Door deze methodes kunnen aanvallers code met kernelniveau rechten uitvoeren. Virtualization-Based Security (VBS) kan deze aanval verhinderen, maar deze functie moet wel correct zijn ingesteld, inclusief UEFI-lock en "Mandatory" mode om volledige bescherming te garanderen.

Bron: 1

Recent ontdekte kwetsbaarheden in Apple’s iOS maken het mogelijk dat aanvallers met fysieke toegang tot een vergrendelde iPhone gevoelige informatie kunnen stelen. Apple heeft de problemen aangepakt door updates uit te brengen voor iOS 18.1 en iPadOS 18.1. Deze updates corrigeren meerdere beveiligingslekken, waaronder vier in Siri die kwaadwillende apps toegang tot persoonlijke data gaven en het mogelijk maakten om bijvoorbeeld contactfoto’s op het vergrendelde scherm te bekijken.

Daarnaast bevatten de updates fixes voor kwetsbaarheden in functies zoals Spotlight, VoiceOver en Accessibility, waarmee afgeschermde gegevens op het lockscreen zichtbaar konden worden. Eerdere maanden werden al soortgelijke problemen in Siri aangepakt. Apple adviseert gebruikers dan ook om zo snel mogelijk te updaten naar iOS 18.1 of iPadOS 18.1 om deze beveiligingsrisico’s te verminderen en de toegang tot gevoelige informatie te beperken. Updaten kan eenvoudig via de instellingen van het apparaat.

Bron: 1

Een ernstige kwetsbaarheid, aangeduid als CVE-2024-46483, is ontdekt in de Xlight SFTP-server, een populaire oplossing voor veilige bestandsoverdracht op Windows. Door een zwakke plek in de implementatie van het SFTP-protocol, waarbij lengtevalidatie ontbreekt, kunnen aanvallers via een heap overflow-aanval de server overnemen of laten crashen. Deze kwetsbaarheid heeft een hoge CVSS-score van 9.8 gekregen, wat duidt op een zeer groot risico.

Vooral versies 3.9.4.2 en ouder zijn kwetsbaar. Op 32-bits systemen kan deze fout leiden tot externe code-uitvoering, terwijl op 64-bits systemen de kans op code-uitvoering kleiner is maar een denial of service (DoS) nog steeds mogelijk is. Een proof-of-concept exploit is openbaar beschikbaar, wat het risico voor gebruikers vergroot. Gebruikers wordt dringend geadviseerd om hun software te updaten naar de nieuwste versie om deze beveiligingsrisico’s te beperken.

Bron: 1

Een nieuw rapport toont aanzienlijke beveiligingsproblemen in Sharp- en Toshiba Tec-multifunctionele printers (MFP's). Deze kwetsbaarheden kunnen worden misbruikt om apparaten te laten crashen, gevoelige gegevens te stelen, beveiligingsauthenticatie te omzeilen en schadelijke code uit te voeren. De problemen variëren van onjuiste verwerking van zoekopdrachten en HTTP-verzoeken tot kwetsbaarheden in authenticatie en toegangsbescherming. Zo kunnen aanvallers via path traversal toegang krijgen tot interne bestanden, en door zwakke plekken in de HTTP-authenticatie kunnen zij beveiligingsmaatregelen omzeilen.

De risico's voor organisaties die deze apparaten gebruiken, zijn groot: aanvallers kunnen bedrijfsprocessen verstoren, gegevens stelen of een aanvalsbasis in het netwerk creëren. Om deze risico's te beperken, hebben Sharp en Toshiba Tec firmware-updates uitgebracht. Bedrijven worden dringend geadviseerd deze updates te installeren en extra maatregelen zoals netwerksegmentatie en firewallbescherming toe te passen.

Bron: 1, 2

Een nieuw ontdekte kwetsbaarheid, CVE-2024-22036, stelt kwaadwillenden in staat om op afstand code uit te voeren (RCE) in SUSE Rancher-omgevingen, met een CVSS-score van 9,1. Rancher is een populair platform voor containerbeheer dat veel gebruikt wordt om Kubernetes-implementaties te vereenvoudigen. De kwetsbaarheid stelt aanvallers in staat om door de zogeheten "chroot jail" te breken, wat hen root-toegang geeft binnen de Rancher-container.

Het probleem ligt bij de beheer van node-drivers die standaard in een beveiligde omgeving zouden draaien, maar door te veel permissies kunnen worden misbruikt voor escalatie van bevoegdheden. Aanvallers kunnen misbruik maken van padmanipulatie, symbolische links en ongepaste eigenaarstoewijzingen van bestanden om de beveiliging te omzeilen.

SUSE Rancher heeft patches uitgebracht (versies 2.7.16, 2.8.9, en 2.9.3) om deze kwetsbaarheid aan te pakken. Beheerders wordt aangeraden alleen vertrouwde drivers te gebruiken en adminrechten te beperken om verdere risico’s te minimaliseren.

Bron: 1

Onlangs is CVE-2024-38821, een ernstige kwetsbaarheid met een CVSS-score van 9.1, ontdekt in Spring WebFlux-toepassingen. Deze fout maakt het mogelijk om zonder autorisatie toegang te krijgen tot statische resources binnen de applicatie, wat de beveiliging in gevaar brengt. De kwetsbaarheid treedt op als de applicatie is gebouwd met Spring WebFlux, gebruikmaakt van Spring's statische resources en geen algemene toegang ("permitAll") toestaat voor deze resources.

De kwetsbare versies zijn Spring Security 5.7.x tot 6.3.x, waaronder oudere, niet-ondersteunde versies. Gebruikers wordt aangeraden hun systemen te updaten naar de veilige versies: 5.7.13, 5.8.15, 6.0.13, 6.1.11, 6.2.7 en 6.3.4, afhankelijk van hun huidige versie. Spring Security benadrukt het belang van deze updates om beveiligingsrisico's te beperken en ongeautoriseerde toegang te voorkomen.

Bron: 1

Een ernstige kwetsbaarheid is ontdekt in het Common Log File System (CLFS) van Windows 11, waarmee lokale gebruikers hun rechten kunnen verhogen. Deze kwetsbaarheid bevindt zich in de functie CClfsBaseFilePersisted::WriteMetadataBlock, waar een niet-geverifieerde waarde kan leiden tot gegevenscorruptie in de CLFS-structuur. Dit opent de deur naar privilege-escalatie, waardoor aanvallers toegang kunnen krijgen tot kernelprocessen.

Tijdens de aanval wordt het CLFS-logboek gemanipuleerd om een commando prompt met systeemrechten te openen. De afwezigheid van Supervisor Mode Access Prevention (SMAP) in Windows maakt deze aanval eenvoudiger, aangezien kernelgeheugen makkelijk aanpasbaar is.

Hoewel Microsoft beweert dat deze kwetsbaarheid eerder werd aangemeld en opgelost, toont recent onderzoek aan dat de exploit nog steeds functioneel is in de laatste versie van Windows 11. Tot op heden is er echter geen CVE-nummer of officiële patch vrijgegeven.

Bron: 1

Apple heeft beveiligingsupdates uitgebracht voor macOS om een kwetsbaarheid aan te pakken waarbij een aanvaller met fysieke toegang tot een Mac het inlogvenster kan omzeilen tijdens de installatie van software-updates. In de nieuwste macOS-versie, Sequoia 15.1, zijn 59 beveiligingsproblemen opgelost, waaronder twee kwetsbaarheden in het onderdeel ‘Login Window’. De eerste kwetsbaarheid maakt het mogelijk om zonder juiste inloggegevens toegang te krijgen wanneer een update wordt uitgevoerd. De tweede kwetsbaarheid kan ervoor zorgen dat afgeschermde inhoud vanaf het inlogscherm zichtbaar wordt. Naast macOS Sequoia 15.1 zijn ook versies macOS Sonoma 14.7.1 en macOS Ventura 13.7.1 bijgewerkt. Apple adviseert gebruikers dringend om de nieuwste updates te installeren om de beveiliging te verbeteren en deze kwetsbaarheden te verhelpen.

Bron: 1, 2, 3

Een recent ontdekte kwetsbaarheid in de Realtek SD-kaartlezerdriver, gebruikt in laptops van merken zoals Dell, Lenovo, HP, en MSI, maakt deze apparaten vatbaar voor aanvallen. Door een fout in de Realtek-driver RtsPer.sys kunnen gebruikers met beperkte rechten, en zelfs kwaadwillenden, toegang krijgen tot het fysieke geheugen van de laptop. Dit biedt de mogelijkheid om onbevoegd naar het kernelgeheugen te schrijven, wat een aanvaller in staat stelt om zijn rechten op het systeem te verhogen.

Hoewel Realtek inmiddels een update heeft uitgebracht om het probleem op te lossen, blijkt dat niet alle fabrikanten, zoals Dell, deze update aan hun klanten hebben aangeboden. Het probleem treft verschillende modellen van de Realtek SD-kaartlezer, en updates zijn beschikbaar vanaf driver-versie 10.0.26100.21374. Gebruikers wordt aangeraden om hun drivers handmatig bij te werken om beveiligingsrisico's te voorkomen.

Bron: 1

QNAP heeft een belangrijke beveiligingsupdate uitgebracht voor een kwetsbaarheid die vorige week tijdens de Pwn2Own-wedstrijd werd gedemonstreerd. Via deze kwetsbaarheid, met CVE-2024-50388 als aanduiding, konden ongeauthenticeerde aanvallers systeemcommando’s uitvoeren op NAS-apparaten van QNAP. Tijdens het evenement in Ierland bewezen onderzoekers dat zij QNAP-apparaten, zoals de QHora-322 router en de TS-464 NAS, konden compromitteren door beveiligingslekken uit te buiten. QNAP beschreef de wedstrijd als een leerervaring en reageerde snel met een update om gebruikers te beschermen.

Het specifieke beveiligingslek was een ‘command injection’-kwetsbaarheid, die door onderzoekers van Viettel Cyber Security werd gedemonstreerd. QNAP heeft deze kwetsbaarheid opgelost in de nieuwste versie van HBS 3 Hybrid Backup Sync (25.1.1.673). Gebruikers wordt aangeraden om hun apparaten te updaten om mogelijke risico’s, waaronder ransomware-aanvallen, te voorkomen. Of er nog aanvullende updates komen voor andere kwetsbaarheden die tijdens de wedstrijd werden gedetecteerd, is momenteel onbekend.

Bron: 1

Een ernstige kwetsbaarheid, CVE-2024-45656, is ontdekt in IBM Power Systems-servers, waardoor ongeautoriseerde toegang en volledige controle over getroffen systemen mogelijk is. Dit beveiligingslek is ontstaan door het gebruik van statische inloggegevens in de IBM Flexible Service Processor (FSP), een essentieel onderdeel voor het beheer en de monitoring van serverhardware en firmware. Met een CVSS-score van 9.8 is de kwetsbaarheid zeer ernstig, wat het risico op significante schade benadrukt.

Kwaadwillenden met netwerktoegang kunnen deze statische inloggegevens misbruiken om uitgebreide toegang te krijgen tot de FSP, wat een complete overname van de server mogelijk maakt. Hierdoor kunnen zij gevoelige data stelen, operaties verstoren of zelfs malware installeren. Deze kwetsbaarheid treft diverse IBM Power8, Power9 en Power10 systemen met specifieke firmwareversies. IBM raadt gebruikers met klem aan om de FSP-firmware direct te updaten om het risico op misbruik te verkleinen. Patches zijn beschikbaar via IBM Fix Central.

Bron: 1

Google heeft onlangs een belangrijke update uitgebracht voor de Chrome-browser om twee ernstige kwetsbaarheden te verhelpen: CVE-2024-10487 en CVE-2024-10488. Deze lekken, die invloed hebben op Windows-, Mac- en Linux-systemen, stellen aanvallers potentieel in staat om toegang tot systemen te krijgen.

De kwetsbaarheid CVE-2024-10487, beoordeeld als "Kritiek", betreft een fout in de Dawn grafische bibliotheek, waarbij aanvallers mogelijk geheugen kunnen beschadigen en kwaadaardige code kunnen uitvoeren. Deze fout werd ontdekt door Apple Security Engineering and Architecture. De tweede kwetsbaarheid, CVE-2024-10488, geclassificeerd als "Hoog", bevindt zich in WebRTC, dat real-time communicatie in Chrome ondersteunt. Dit lek kan tot crashes leiden of gebruikt worden voor de uitvoering van willekeurige code.

Gebruikers worden dringend aangeraden om hun Chrome-browser te updaten naar de nieuwste versie om de risico’s te beperken. Dit kan via "Help" -> "Over Google Chrome", waarna de browser automatisch wordt bijgewerkt.

Bron: 1

ThreatFabric heeft recent een rapport uitgebracht over de LightSpy spyware, die oorspronkelijk in 2020 werd geïdentificeerd en zich nu heeft ontwikkeld tot een geavanceerder en schadelijker hulpmiddel. De nieuwste versie, LightSpy 7.9.0, bevat maar liefst 28 plugins, waarvan zeven destructieve mogelijkheden hebben. Deze spyware richt zich voornamelijk op iOS-apparaten en maakt gebruik van bekende beveiligingslekken om toegang te verkrijgen en de controle over getroffen apparaten te intensiveren.

Met behulp van geavanceerde WebKit-exploits kunnen iPhones, van het model 6 tot en met de X, worden geïnfecteerd. De malware kan diverse acties uitvoeren, zoals het bevriezen van apparaten en het wissen van contacten en berichten. Een belangrijke tactiek van LightSpy is de zogenaamde "watering hole" aanval, waarbij gebruikers via geïnfecteerde websites onbedoeld de spyware activeren. Het rapport benadrukt dat regelmatig herstarten van het apparaat de persistentie van deze spyware kan verminderen.

Bron: 1

Recent is een ernstige kwetsbaarheid ontdekt in de Squid proxy server, een veelgebruikte open-source caching proxy. Deze kwetsbaarheid, aangeduid als CVE-2024-45802, kan een Denial-of-Service (DoS) veroorzaken en treft vooral systemen die de Edge Side Includes (ESI)-functie hebben ingeschakeld. Squid wordt ingezet om bandbreedte te optimaliseren en de reactietijd te versnellen, maar deze configuratie maakt het kwetsbaar voor aanvallen van vertrouwde servers die toegang hebben tot de proxy.

De kwetsbaarheid betreft versies 3.0 tot en met 6.9, waar ESI is ingeschakeld, en stelt aanvallers in staat om de service tijdelijk te verstoren voor alle verbonden clients. Squid versie 6.10 biedt een oplossing door ESI standaard uit te schakelen. Gebruikers kunnen hun versie controleren met het commando squid -v. Voor systemen die niet kunnen updaten, adviseert Squid om de server opnieuw te bouwen met de --disable-esi optie.

Bron: 1

Beveiligingsonderzoekers van 0patch hebben een nieuwe zero-day kwetsbaarheid ontdekt in Microsoft Windows, die gebruikers blootstelt aan potentiële diefstal van inloggegevens. Deze kwetsbaarheid maakt gebruik van een fout in Windows-thema’s waarbij netwerkpaden in thema-bestanden misbruikt worden. Wanneer een gebruiker een thema-bestand bekijkt met een specifiek netwerkpad, worden er automatisch geauthenticeerde netwerkverzoeken verzonden, inclusief NTLM-inloggegevens. Dit risico blijft bestaan, ondanks eerdere pogingen van Microsoft om soortgelijke kwetsbaarheden (CVE-2024-21320 en CVE-2024-38030) op te lossen.

0patch heeft inmiddels een tijdelijke micropatch ontwikkeld die bescherming biedt voor zowel verouderde als recente Windows-versies. Deze wordt kosteloos aangeboden totdat Microsoft met een definitieve update komt. Dit incident stelt vragen over het kwetsbaarheidsbeheer van Microsoft, vooral rond het vinden van varianten van bekende problemen. Volgens 0patch blijven zulke kwetsbaarheden regelmatig opduiken, wat benadrukt hoe belangrijk het is om systemen up-to-date te houden en extra beveiligingsmaatregelen te overwegen.

Bron: 1

Een recent ontdekt beveiligingslek in Atlassian Confluence (CVE-2023-22527) stelt cybercriminelen in staat om servers te kapen voor cryptomining. Het lek maakt gebruik van een onbeveiligde template-injectie, waardoor aanvallers op afstand commando’s kunnen uitvoeren zonder authenticatie. Dit geeft toegang tot servers, die vervolgens worden opgenomen in het gedecentraliseerde Titan Network om beloningen te verdienen door cryptovaluta te minen.

De aanval begint met de inzet van shell-scripts die serverinformatie verzamelen, zoals IP-adressen en besturingssysteemdetails. Met deze gegevens kunnen criminelen payloads inzetten en de server optimaliseren voor mining. De Titan-software wordt strategisch in de /tmp-map geplaatst, en door onopvallende wijzigingen, zoals typfouten in variabelen, proberen de aanvallers detectie te vermijden.

Trend Micro benadrukt dat regelmatige updates en strikte toegangscontrole essentieel zijn om dit soort aanvallen tegen te gaan. Deze exploit benadrukt hoe waardevolle IT-infrastructuur doelwit wordt voor cryptomining, wat de noodzaak van sterke beveiligingsmaatregelen onderstreept.

Bron: 1

Een recent ontdekte kwetsbaarheid in Atlassian’s Confluence servers (CVE-2023-22527) stelt aanvallers in staat om cryptominingactiviteiten uit te voeren op gecompromitteerde systemen. Via een kwetsbaarheid in sjablonen kunnen aanvallers op afstand commando's uitvoeren en zo controle krijgen over de server. Vervolgens plaatsen zij scripts op de getroffen systemen om kritieke informatie te verzamelen en toegang tot de omgeving te behouden.

De aanvallers maken gebruik van het Titan Network, een gedecentraliseerd platform dat beloningen biedt voor het delen van rekenkracht. Gecompromitteerde servers worden ingezet als “Titan edge nodes”, waardoor de aanvallers beloningen verdienen met de rekenkracht van deze systemen. Trend Micro benadrukt het belang van up-to-date beveiligingspatches en sterke toegangscontrole om dergelijke aanvallen te voorkomen. Deze exploitatie toont aan hoe kwetsbaarheden kunnen worden uitgebuit voor winstgevende cryptojacking en laat zien dat decentrale netwerken zoals Titan aantrekkelijke doelen zijn.

Bron: Misbruikte kwetsbaarheden

Tijdens de Pwn2Own 2024 hackwedstrijd in Ierland hebben hackers van het YingMuo-team, in samenwerking met het DEVCORE Internship Program, succesvol een ernstige kwetsbaarheid (CVE-2024-50387) ontdekt in de SMB-service van QNAP NAS-systemen. Deze kwetsbaarheid stelt kwaadwillenden in staat om volledige controle te krijgen over een QNAP TS-464 NAS-apparaat door middel van argument- en SQL-injectietechnieken. Deze hack leverde het team niet alleen $20.000 op, maar ook belangrijke punten in de Master of Pwn-competitie.

QNAP reageerde snel door een beveiligingsupdate uit te brengen, ondanks een standaard 90-dagen disclosureperiode. Gebruikers van QNAP-systemen wordt dringend aangeraden om hun SMB-service bij te werken naar versie 4.15.002 of hoger om beveiligingsrisico’s te minimaliseren. Ongepatchte kwetsbaarheden zoals deze kunnen leiden tot ongeautoriseerde toegang en datadiefstal, waardoor regelmatige updates en systeemcontroles essentieel zijn voor NAS-gebruikers.

Bron: 1

Recent heeft Opera een ernstig beveiligingslek gedicht dat gebruikers blootstelde aan risico’s zoals ongeoorloofde toegang door kwaadaardige extensies. Deze kwetsbaarheid, “CrossBarking” genoemd, maakte het mogelijk voor aanvallers om toegang te krijgen tot gevoelige browser-API's en hiermee acties uit te voeren, zoals het maken van schermafbeeldingen, het wijzigen van browserinstellingen en zelfs accountovernames. Onderzoekers van Guardio Labs ontdekten dat een schijnbaar onschuldige extensie via de Chrome Web Store kon worden verspreid om deze aanval uit te voeren, wat de noodzaak benadrukt om extra waakzaam te zijn bij het installeren van browserextensies.

De exploit maakte gebruik van permissies binnen Opera's subdomeinen, die toegang hebben tot interne API's voor functies zoals Opera Wallet. Kwaadaardige content-scripts binnen extensies konden toegang krijgen tot deze permissieve domeinen en zo gegevens onderscheppen of manipuleren. Dit incident onderstreept het belang van striktere controle op extensies en de noodzaak voor gebruikers om voorzichtig te zijn met hun installatie.

Bron: 1

Veel Xlight FTP-servers op het internet bevatten een ernstig beveiligingslek (CVE-2024-46483), waardoor een aanvaller zonder authenticatie controle over deze servers kan verkrijgen. Dit lek, veroorzaakt door een 'integer overflow' in de netwerkcomponent, maakt het mogelijk om via schadelijke code de server over te nemen of te laten crashen. Het probleem werd op 21 augustus verholpen in versie 3.9.4.3 van de software. Toch blijkt dat maar een klein aantal servers deze update al heeft geïnstalleerd. Onderzoek toont aan dat van de meer dan 3.500 openbaar toegankelijke Xlight-servers bijna de helft nog een kwetsbare versie draait, wat ze blootstelt aan misbruik, vooral gezien het feit dat er exploitcode voorhanden is. Serverbeheerders wordt aangeraden om hun systemen snel te updaten om misbruik te voorkomen.

Bron: 1

Een kritieke beveiligingskwetsbaarheid (CVE-2024-50550) is ontdekt in de LiteSpeed Cache plugin voor WordPress, die door meer dan 6 miljoen websites wordt gebruikt. Het lek, ontdekt door Rafie Muhammad van Patchstack, maakt het mogelijk voor niet-geauthenticeerde bezoekers om beheerdersrechten te verkrijgen op kwetsbare WordPress-sites.

De kwetsbaarheid zit in de gebruikerssimulatiefunctie van de plugin en maakt gebruik van een zwakke beveiligingshashcontrole. Door de crawler-instellingen van de plugin aan te passen, kunnen aanvallers de beveiliging omzeilen en kwaadaardige plugins uploaden en activeren. Het probleem wordt verergerd door het gebruik van voorspelbare willekeurige waarden in de hashgeneratie, waardoor deze makkelijker te kraken is.

Het beveiligingslek is inmiddels verholpen in LiteSpeed Cache versie 6.5.2. Websitebeheerders worden dringend geadviseerd om hun plugin bij te werken om misbruik te voorkomen.

Bron: 1

Onderzoekers hebben een ernstige kwetsbaarheid ontdekt in de DrayTek Vigor2960 routers, bekend als CVE-2024-48074, die een hoge CVSS-score van 8.0 heeft. Deze kwetsbaarheid stelt aanvallers in staat om op afstand willekeurige commando's uit te voeren, wat kan leiden tot een volledige overname van het apparaat. De fout bevindt zich in de doPPPoE-functie van een specifiek script, waar gebruikersinvoer niet correct wordt behandeld. Dit kan resulteren in een command injectieaanval.

De exploitatie van deze kwetsbaarheid kan leiden tot datalekken, verstoring van netwerkdiensten en de mogelijkheid om het apparaat in een botnet te gebruiken. DrayTek heeft inmiddels een patch vrijgegeven. Gebruikers worden aangemoedigd om hun firmware bij te werken, toegang op afstand uit te schakelen en sterke wachtwoorden te gebruiken om hun apparaten te beveiligen.

Bron: 1

Een ernstige beveiligingskwetsbaarheid in Apache Lucene.NET, aangeduid als CVE-2024-43383, is ontdekt en vereist onmiddellijke actie van ontwikkelaars. Deze kwetsbaarheid, die de Replicator-bibliotheek van Lucene.NET beïnvloedt, maakt het mogelijk voor aanvallers om op afstand kwaadaardige code uit te voeren door onbetrouwbare gegevens tijdens deserialisatie verkeerd te behandelen. Aanvallers kunnen de communicatie tussen een replicatieclient en server onderscheppen of de doel-URL manipuleren om deze kwetsbaarheid te exploiteren.

Het resultaat van een succesvolle exploitatie kan variëren van het uitvoeren van willekeurige code tot het verkrijgen van volledige controle over het systeem, met als gevolg mogelijke datalekken. De Apache Lucene.NET-ontwikkelingsteam heeft de kwetsbaarheid verholpen in versie 4.8.0-beta00017. Het is dringend aanbevolen dat alle gebruikers van de getroffen versies upgraden naar deze laatste release.

Bron: 1

Eigenaren van websites die de AI Power: Complete AI Pack plugin gebruiken, worden dringend aangeraden om onmiddellijk te updaten naar de nieuwste versie. Deze actie is noodzakelijk om een ernstige kwetsbaarheid, aangeduid als CVE-2024-10392, te verhelpen, die een CVSS-score van 9.8 heeft gekregen. De kwetsbaarheid stelt aanvallers in staat om willekeurige bestanden te uploaden, wat kan leiden tot een volledige overname van de site. Dit komt door een gebrek aan validatie van bestandstypen in de functie die afbeeldingen verwerkt. Als gevolg hiervan kunnen aanvallers kwaadaardige PHP-code verbergen in geüploade afbeeldingen. Gevolgen van deze exploitatie kunnen zijn: website-defacement, diefstal van gevoelige gegevens en verspreiding van malware. De kwetsbaarheid is ontdekt door een beveiligingsonderzoeker en is inmiddels verholpen in versie 1.8.90 van de plugin. Gebruikers wordt aangeraden om direct te updaten.

Bron: 1

De Pylons Project heeft een belangrijke beveiligingsadviezen uitgebracht met betrekking tot een kwetsbaarheid in de Waitress WSGI-server, aangeduid als CVE-2024-49768. Deze kwetsbaarheid heeft een CVSS-score van 9.1 en vormt een ernstig risico voor toepassingen die Waitress gebruiken, vooral in productieomgevingen. De kwetsbaarheid ontstaat door een raceconditie bij het verwerken van HTTP-pipelining. Een aanvaller kan dit probleem uitbuiten door een tweede aanvraag te verzenden, zelfs als de eerste aanvraag niet correct wordt verwerkt. Hierdoor kan de server de tweede aanvraag verkeerd interpreteren en ongewenste acties uitvoeren. Het Pylons Project heeft versie 3.0.1 van Waitress uitgebracht om deze kwetsbaarheid te verhelpen. Gebruikers worden aangespoord om onmiddellijk bij te werken, of tijdelijk de functie voor aanvraagvooruitzicht uit te schakelen om het risico te minimaliseren.

Bron: 1

Hikvision heeft belangrijke firmware-updates uitgebracht om een beveiligingskwetsbaarheid in hun netwerkcamera's aan te pakken. Deze kwetsbaarheid, die een breed scala aan modellen raakt, stelde aanvallers in staat om gebruikersgegevens van Dynamic DNS-diensten in heldere tekst te onderscheppen. Dit betekende dat inloggegevens kwetsbaar waren voor afluisteren, wat leidde tot mogelijke ongeautoriseerde toegang en verstoring van de communicatie tussen de camera en de service.

Hikvision heeft nu HTTPS-communicatie geïmplementeerd in de nieuwe firmwareversies, waardoor de veiligheid van deze gegevens aanzienlijk is verbeterd. Gebruikers van de getroffen camera's worden dringend aangeraden om hun firmware zo snel mogelijk bij te werken naar de laatste versie om zichzelf te beschermen tegen deze en andere potentiële aanvallen.

Bron: 1

Synology heeft snel gereageerd op twee kritieke zero-day kwetsbaarheden die tijdens de Pwn2Own-hackingcompetitie zijn onthuld. Onderzoeker Rick de Jager ontdekte deze zero-click kwetsbaarheden in de software Synology Photos en BeePhotos voor BeeStation. Deze beveiligingslekken, die op afstand konden worden uitgebuit voor root-toegang, zijn samengevoegd onder de aanduiding CVE-2024-10443, ook wel RISK:STATION genoemd. Binnen 48 uur na de presentatie van de kwetsbaarheden zijn er patches vrijgegeven. Synology raadt gebruikers aan hun apparaten onmiddellijk bij te werken, aangezien miljoenen systemen kwetsbaar zijn. Dit snelle handelen is cruciaal, gezien de frequente aanvallen van cybercriminelen op online blootgestelde NAS-apparaten. Beide kwetsbaarheden onderstrepen de noodzaak voor voortdurende beveiliging in een tijd waarin ransomware-aanvallen toenemen.

Bron: 1

Onderzoekers hebben twee kritieke kwetsbaarheden ontdekt in Philips Smart Lighting-producten die gebruikers blootstellen aan hackpogingen. Deze kwetsbaarheden stellen aanvallers in staat om WiFi-credentials te extraheren in platte tekst, vooral bij apparaten met firmwareversies vóór 1.33.1. Dit betekent dat als kwaadwillenden fysieke toegang hebben tot deze verlichtingssystemen, ze eenvoudig de WiFi-informatie kunnen bemachtigen, wat de beveiliging van het hele netwerk in gevaar kan brengen.

Daarnaast is er een probleem met Matrix Deurcontrollers, waarbij aanvallers via een webinterface ongeautoriseerde toegang kunnen verkrijgen. CERT-In adviseert gebruikers om hun firmware bij te werken om zichzelf te beschermen tegen deze risico's en beveelt aan om de toegang tot de deurcontrollers te beperken door middel van netwerksegmentatie en sterke authenticatiemethoden.

Bron: 1

De kwetsbaarheid CVE-2024-38821 in Spring WebFlux stelt aanvallers in staat om beperkte middelen te benaderen door gebruik te maken van bepaalde manipulaties van URL-paden. Dit probleem, ontdekt door onderzoeker Mouad Kondah, ligt in de manier waarop Spring WebFlux omgaat met statische middelen. Aanvallers kunnen door het omzeilen van beveiligingsfilters via zorgvuldig opgestelde URL-paden toegang krijgen tot gevoelige bestanden. De kwetsbaarheid heeft impact op applicaties die afhankelijk zijn van Spring’s ResourceWebHandler, die verantwoordelijk is voor het bedienen van statische middelen zoals HTML-bestanden en afbeeldingen. Om de risico's te mitigeren, wordt aanbevolen om te updaten naar de nieuwste beveiligde versies van Spring. De betrokken versies zijn onder andere 5.7.13, 5.8.15, en 6.0.13.

Bron: 1

Okta, een toonaangevende cloudgebaseerde identiteit- en toegangsbeheerdienst, heeft een ernstige kwetsbaarheid ontdekt die gebruikers in staat stelde om hun accounts te openen zonder een wachtwoord. Deze kwetsbaarheid deed zich voor bij gebruikers met uitzonderlijk lange gebruikersnamen van minstens 52 karakters. Als de cache-sleutel van een eerdere succesvolle login sessie nog was opgeslagen, konden gebruikers inloggen door alleen hun gebruikersnaam op te geven. Okta heeft deze kwetsbaarheid op 30 oktober 2024 gepatcht en raadt klanten aan om hun logboeken te controleren op verdachte logins met lange gebruikersnamen tussen 23 juli en 30 oktober 2024. Ondanks dat lange gebruikersnamen niet gebruikelijk zijn, roept deze situatie bezorgdheid op, vooral gezien eerdere aanvallen op de systemen van Okta. Het bedrijf adviseert ook het gebruik van multi-factor authenticatie voor extra beveiliging.

Bron: 1

Nvidia heeft een belangrijke beveiligingsupdate uitgebracht voor zijn ConnectX en BlueField Data Processing Units (DPUs) vanwege de ontdekking van twee ernstige kwetsbaarheden (CVE-2024-0105 en CVE-2024-0106). Deze kwetsbaarheden kunnen aanvallers in staat stellen om gegevens te manipuleren, diensten te verstoren of toegang te krijgen tot gevoelige informatie. De kwetsbaarheden hebben een hoge CVSS-score van respectievelijk 8.9 en 8.7, wat duidt op aanzienlijke risico's.

De update betreft verschillende modellen, waaronder ConnectX 4-7 en BlueField 1-3. Nvidia raadt gebruikers aan om hun firmware bij te werken naar specifieke versies om de risico's te mitigeren. Het is cruciaal dat gebruikers deze updates implementeren om hun systemen te beschermen tegen mogelijke aanvallen.

Bron: 1

Recent onderzoek heeft zes kwetsbaarheden in Ollama, een populair open-source framework voor het draaien van grote taalmodellen, onthuld. Met de groeiende toepassing van Ollama in bedrijfsomgevingen, brengen deze kwetsbaarheden aanzienlijke risico's met zich mee. Vier van de geïdentificeerde kwetsbaarheden zijn officieel toegewezen als CVE's en zijn gepatcht, terwijl twee worden betwist als "schaduwkwetsbaarheden". De kwetsbaarheden stellen aanvallers in staat om verschillende kwaadaardige acties uit te voeren via één HTTP-verzoek, zoals Denial of Service (DoS)-aanvallen en modeldiefstal. De modelbeheereindpunten missen adequate authenticatie, waardoor aanvallers gemakkelijk toegang kunnen krijgen tot gevoelige gegevens of schadelijke modellen kunnen introduceren. Het rapport benadrukt de noodzaak voor organisaties om patches toe te passen en hun beveiligingsinstellingen te configureren om het risico op aanvallen te minimaliseren.

Bron: 1

Een ernstige kwetsbaarheid is ontdekt in Ricoh's Web Image Monitor, die invloed heeft op verschillende printers en multifunctionele printers (MFP's). Deze kwetsbaarheid, aangeduid als CVE-2024-47939 en met een CVSS-score van 9.8, stelt aanvallers in staat om willekeurige code uit te voeren of een denial-of-service (DoS) aanval te veroorzaken. Het probleem ontstaat door een buffer overflow die het gevolg is van onjuist verwerkte HTTP-verzoeken.

Als de kwetsbaarheid wordt geëxploiteerd, kunnen aanvallers volledige controle krijgen over het apparaat, wat kan leiden tot datalekken en verstoring van printdiensten. Ricoh heeft firmware-updates vrijgegeven om deze kwetsbaarheid te verhelpen, en gebruikers worden dringend aangeraden hun apparaten bij te werken. Het is cruciaal voor organisaties om kwetsbare apparaten snel te patchen om hun netwerken te beschermen tegen mogelijke cyberaanvallen.

Bron: 1

Okta heeft een ernstige kwetsbaarheid verholpen in de Okta Verify Desktop MFA voor Windows, waarmee aanvallers mogelijk gebruikerswachtwoorden konden stelen. Deze kwetsbaarheid, aangeduid als CVE-2024-9191, heeft een CVSS-score van 7.1 en raakt de functie voor wachtwoordloze aanmelding binnen Okta Device Access. Wanneer een aanvaller al toegang had tot een besmet apparaat, konden zij via deze kwetsbaarheid wachtwoorden ophalen die door de Okta Verify-agent werden opgeslagen. Dit kon leiden tot verdere compromittering van het Okta-account van de gebruiker. Het probleem werd ontdekt tijdens routinematige penetratietests. Belangrijk is dat alleen gebruikers die de wachtwoordloze functie van Okta Device Access gebruikten, door deze kwetsbaarheid werden getroffen. Okta heeft versie 5.3.3 van Okta Verify voor Windows uitgebracht om deze kwetsbaarheid te verhelpen; gebruikers van eerdere versies worden aangemoedigd om onmiddellijk te upgraden.

Bron: 1

MediaTek heeft een beveiligingsbulletin uitgegeven waarin meerdere kwetsbaarheden in zijn chipsets worden belicht. Deze kwetsbaarheden treffen een breed scala aan apparaten, zoals smartphones, tablets en slimme displays, en variëren van gemiddeld tot hoog in ernst. Twee belangrijke kwetsbaarheden zijn CVE-2024-20104, die een uitbuitingsmogelijkheid biedt met gebruikersinteractie, en CVE-2024-20106, die zonder gebruikersinteractie kan worden geëxploiteerd, waardoor aanvallers willekeurige code met systeemprivileges kunnen uitvoeren. Daarnaast zijn er verschillende kwetsbaarheden van gemiddelde ernst, die kunnen leiden tot informatielekken en privilegeverhogingen. MediaTek heeft patches beschikbaar gesteld aan fabrikanten, en gebruikers worden dringend aangeraden om deze beveiligingsupdates onmiddellijk te installeren zodra ze beschikbaar zijn.

Bron: 1

Google heeft met zijn AI-tool Big Sleep een zero-day kwetsbaarheid ontdekt in de open-source SQLite database-engine. Dit markeert volgens Google de eerste keer dat een AI-agent een onbekend exploitabele geheugensafety-issue heeft gevonden in veelgebruikte software. De kwetsbaarheid betreft een stack buffer underflow, wat kan leiden tot systeemcrashes of onvoorspelbare code-executie. Deze kwetsbaarheid werd ontdekt in een ontwikkelversie van de SQLite-bibliotheek en is inmiddels verholpen. Big Sleep, dat is voortgekomen uit Project Naptime, gebruikt een grote taalmodel om menselijke gedragssimulatie toe te passen bij het identificeren van kwetsbaarheden. Google benadrukt dat hoewel dit veel potentieel heeft voor defensieve strategieën, de huidige resultaten nog experimenteel zijn. Het doel is om kwetsbaarheden te identificeren voordat ze in officiële releases worden opgenomen, zodat aanvallers geen kans krijgen om deze uit te buiten.

Bron: 1

Een nieuwe kwetsbaarheid, CVE-2024-46538, is ontdekt in pfSense versie 2.5.2, een veelgebruikt open-source firewall- en routerprogramma. Deze cross-site scripting (XSS) kwetsbaarheid stelt aanvallers in staat om kwaadaardige scripts uit te voeren binnen de browser van een beheerder. De kwetsbaarheid is ontstaan door onvoldoende invoerfiltering in het bestand interfaces_groups_edit.php. Wanneer een aanvaller een beheerder weet te misleiden om een speciaal gemaakte aanvraag te doen, kan hij willekeurige opdrachten met beheerdersprivileges uitvoeren, wat kan leiden tot een volledige overname van het systeem.

EQSTLab heeft een proof-of-concept (PoC) exploit gepubliceerd die de ernst van deze kwetsbaarheid aantoont. Het is van cruciaal belang voor gebruikers van pfSense om snel te updaten naar de meest recente versie om hun systemen te beveiligen tegen mogelijke aanvallen.

Bron: 1

Een beveiligingsonderzoeker heeft onthuld dat IBM meer dan anderhalf jaar nodig had om 32 ernstige kwetsbaarheden in hun Security Verify Access-oplossing te patchen. Deze beveiligingslekken, ontdekt in oktober 2022, maakten het mogelijk voor aanvallers om het systeem te compromitteren via rechtenverhoging, authenticatie-omzeiling en remote code execution. De kwetsbaarheden konden worden misbruikt door aanvallers die een man-in-the-middle aanval konden uitvoeren of toegang hadden tot het lokale netwerk.

IBM Security Verify Access, een oplossing voor authenticatie en autorisatie van gebruikers op intra- en extranetten, bevatte ook verouderde en niet meer vertrouwde certificaatautoriteiten in hun Docker images. De onderzoeker noemt de lange periode die nodig was voor het uitbrengen van de patches "zeer zorgwekkend", vooral gezien het feit dat het om een Single sign-on oplossing gaat. Uiteindelijk werden alle beveiligingsproblemen eind juni 2024 opgelost.

Bron: 1, 2

Google heeft een nieuwe kwetsbaarheid ontdekt in Android-toestellen die het mogelijk maakt voor aanvallers om op afstand code uit te voeren. Deze kwetsbaarheid (CVE-2024-43091) treft Android-versies 12, 12L, 13, 14 en 15 en is door Google als 'high impact' geclassificeerd.

Naast dit beveiligingslek is er ook een kritieke kwetsbaarheid gevonden in een Bluetooth-component van Qualcomm (CVE-2024-38408). In totaal zijn er in de november-update 46 kwetsbaarheden verholpen.

Google werkt met patchniveaus die worden aangeduid met een datum. Toestellen die de november-updates ontvangen, krijgen '2024-11-01' of '2024-11-05' als patchniveau. Fabrikanten zijn een maand vooraf geïnformeerd over deze kwetsbaarheden om updates te kunnen ontwikkelen. Dit betekent echter niet dat alle Android-toestellen deze updates zullen ontvangen, aangezien sommige toestellen niet meer worden ondersteund of updates later ontvangen.

Bron: 1

QNAP heeft snel gereageerd op een ernstige zero-day kwetsbaarheid (CVE-2024-50389) in zijn QuRouter netwerkbeveiligingsapparaat. Deze kwetsbaarheid werd ontdekt tijdens de Pwn2Own hackingwedstrijd in Ierland, waarbij de Viettel Cyber Security team erin slaagde het apparaat te compromitteren en een deel van de prijzenpot van meer dan 1 miljoen dollar te winnen. In reactie daarop bracht QNAP onmiddellijk een patch uit voor de getroffen QuRouter-versies 2.4.x, en raadde gebruikers aan om te upgraden naar versie 2.4.5.032 of hoger. Dit incident volgt op twee andere zero-day kwetsbaarheden die vorige week door hetzelfde team werden ontdekt en ook snel werden gepatcht. QNAP's snelle actie wordt geprezen, vooral omdat exploit-details meestal 90 dagen na de ontdekking openbaar worden gemaakt. Gebruikers wordt dringend geadviseerd om hun apparaten bij te werken om mogelijke beveiligingsrisico's te minimaliseren.

Bron: 1

Rockwell Automation heeft twee ernstige kwetsbaarheden ontdekt in hun FactoryTalk ThinManager software, die aanzienlijke risico’s kunnen veroorzaken voor industriële automatiseringssystemen. De eerste kwetsbaarheid (CVE-2024-10386) heeft betrekking op een ontbrekende authenticatie voor een cruciale functie, wat aanvallers de mogelijkheid biedt om berichten te manipuleren en de databases van systemen aan te passen. Dit heeft een hoge dreigingsscore van 9,3 (CVSS). De tweede kwetsbaarheid (CVE-2024-10387) betreft een Denial-of-Service (DoS), waarbij aanvallers door middel van op maat gemaakte berichten de werking van het systeem kunnen verstoren, met een score van 8,7 (CVSS). De kwetsbaarheden treffen versies van 11.2.0 tot 14.0.0, en Rockwell heeft inmiddels updates beschikbaar gesteld. Gebruikers worden aangespoord om de nieuwste versies te installeren en netwerkbeveiliging te verbeteren door alleen noodzakelijke communicatiepoorten open te stellen.

Bron: 1

ZoneMinder, een populaire open-source videobewakingssoftware, heeft een ernstige kwetsbaarheid (CVE-2024-51482) die de veiligheid van SQL-databases in gevaar brengt. Deze kwetsbaarheid, die een CVSS-score van 10 heeft gekregen, stelt aanvallers in staat om SQL-query's te manipuleren door een invoervalidatiefout in de functie web/ajax/event.php. Dit maakt het mogelijk om ongeautoriseerde SQL-commando’s uit te voeren, zoals het verwijderen van gegevens of zelfs het verstoren van de service. De fout is aanwezig in ZoneMinder-versies van v1.37.* tot v1.37.64. Een aanvaller kan de kwetsbaarheid benutten door een speciaal gevormde URL in te voeren, waarmee SQL-injectie wordt uitgevoerd. Het oplossen van dit probleem vereist het gebruik van geparameteriseerde queries en inputvalidatie, wat inmiddels is doorgevoerd in versie 1.37.65. Gebruikers wordt aangeraden hun software bij te werken naar deze versie om hun systemen te beveiligen.

Bron: 1

Century Systems heeft een ernstig beveiligingslek ontdekt in zijn FutureNet NXR-routerserie, aangeduid als CVE-2024-50357, met een CVSS-score van 9,8. Het lek maakt het mogelijk voor aanvallers om via onbeveiligde REST-API's op afstand toegang te krijgen tot de routers, zelfs als deze in de fabrieksprestaties zijn uitgeschakeld. Dit probleem ontstaat wanneer de HTTP-server of webauthenticatie is ingeschakeld, wat standaard het geval is bij veel modellen. Aanvallers kunnen misbruik maken van dit lek om routerinstellingen te wijzigen, zoals DNS-configuraties of firewallregels, gevoelige informatie te stelen of zelfs andere apparaten binnen het netwerk aan te vallen. Gebruikers van de FutureNet NXR-G050, NXR-G060 en NXR-G110 series wordt geadviseerd hun firmware onmiddellijk bij te werken om dit risico te verhelpen.

Bron: 1