Kwetsbaarheden CVE's


20242023 | 2022 | 2021


december | november | oktober | september | augustus



VMware waarschuwt voor actief misbruik van kritiek lek in vCenter Server

VMware waarschuwt organisaties voor actief misbruik van een kritieke kwetsbaarheid in vCenter Server waardoor aanvallers systemen op afstand volledig kunnen overnemen. VCenter is een oplossing voor het beheer van virtual machines en gevirtualiseerde servers. Een uploadkwetsbaarheid in de Analytics-service van vCenter maakt het mogelijk voor aanvallers om willekeurige code op kwetsbare servers uit te voeren. Op een schaal van 1 tot en met 10 wat betreft de impact is het beveiligingslek, aangeduid als CVE-2021-22005, met een 9,8 beoordeeld. "De gevolgen van deze kwetsbaarheid zijn ernstig en het is slechts een kwestie van tijd, waarschijnlijk minuten na de aankondiging, voordat er werkende exploits verschijnen", aldus VMware op 21 september. Het bedrijf bevestigt nu dat er inderdaad aanvallen plaatsvinden.Om misbruik van de kwetsbaarheid te kunnen maken moet een aanvaller toegang tot kwetsbare servers hebben. Door het uploaden van een speciaal geprepareerd bestand is het vervolgens mogelijk voor een aanvaller om willekeurige code op de server uit te voeren. Securitybedrijf Bad Packets meldt dat aanvallers gebruikmaken van een proof-of-concept exploit die vorige week verscheen.Volgens het Digital Trust Center van het ministerie van Economische Zaken leent de kwetsbaarheid "zich uitstekend" voor potentiële ransomware-aanvallen. VMware stelt dat het beveiligingslek "directe aandacht" van organisaties vereist. Eerder dit jaar werd een ander beveiligingslek in vCenter ook al actief misbruikt door aanvallers.


SonicWall-gateways door kritieke kwetsbaarheid op afstand over te nemen

Een kritieke kwetsbaarheid in gateways van fabrikant SonicWall maakt het mogelijk voor ongeauthenticeerde aanvallers om de apparaten op afstand over te nemen. SonicWall heeft gisteren een beveiligingsupdate voor de kwetsbaarheid uitgerold en roept organisaties op om die meteen te installeren. In het verleden zijn kwetsbaarheden in SonicWall-gateways vaker gebruikt voor het aanvallen van organisaties. Het beveiligingslek, CVE-2021-20034, is aanwezig in gateways van de SMA 100-series, waaronder de SMA 200, 210, 400, 410 en 500v. Via de gateway kunnen medewerkers vanaf allerlei willekeurige apparaten op afstand toegang tot de netwerken en cloudomgevingen van hun organisatie krijgen. Een kwetsbaarheid in de SMA 100 zorgt ervoor dat de controle op path traversal niet goed werkt. Hierdoor kan een aanvaller, zonder dat die over inloggegevens hoeft te beschikken, willekeurige bestanden kan verwijderen wat tot een fabrieksreset van het apparaat kan leiden. Vervolgens is het mogelijk om beheerderstoegang te krijgen. De ernst van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9,1 beoordeeld. SonicWall laat weten dat er nog geen misbruik van de kwetsbaarheid is waargenomen. Eerder dit jaar waarschuwde het bedrijf nog voor ransomware-aanvallen tegen onder andere de SMA 100-apparaten. Daarnaast was de SMA 100 begin dit jaar ook het doelwit van een zeroday-aanval.


Ernstige kwetsbaarheid in VMware vCenter

VMware heeft beveiligingsupdates beschikbaar gesteld waarmee een aantal kwetsbaarheden worden verholpen waarvan één zeer ernstige in VMware vCenter: CVE-2021-22005. Misbruik van deze kwetsbaarheid wordt op korte termijn verwacht. Daarom is het advies is om de beschikbare updates zo snel mogelijk te (laten) installeren. Het Nationaal Cyber Security Center (NCSC) heeft deze kwetsbaarheid ingeschaald als "High/High"; de kans op misbruik op korte termijn én de potentiële schade is groot.

Wat is VMware vCenter?

De producten van VMware maken het mogelijk om fysieke servers te virtualiseren. Dit wordt veelvuldig voor en door zowel kleine als grote bedrijven gebruikt. Met behulp van een VMware vCenter-server kunnen deze virtuele servers worden beheerd.

Wat is het risico?

Als een kwaadwillende deze kwetsbaarheid uitbuit, is het mogelijk om willekeurige code uit te voeren en zodoende de kwetsbare VMware vCenter-server volledig over te nemen. Misbruik is mogelijk als de kwetsbare server via het netwerk te benaderen is. Dit is ongeacht de configuratie-instellingen.

VMware verwacht op zeer korte termijn misbruik van deze kwetsbaarheid. Dit risico is met name groot voor VMware vCenter-servers die direct te benaderen zijn via het internet. Maar ook wanneer dit niet het geval is, blijft het risico op misbruik groot door mogelijk eerder verkregen netwerktoegang. Hoewel er momenteel nog geen publieke exploitcode beschikbaar is, leent de kwetsbaarheid zich uitstekend voor potentiële ransomware-aanvallen.

Wat kun je doen?

Als je gebruik maakt van VMware binnen je organisatie en deze wordt beheerd met behulp van een VMware vCenter-server, is het advies om de beschikbare updates zo snel mogelijk te (laten) installeren.
Op de VMware website vind je meer inzicht in de kwetsbaarheid en een overzicht welke versies kwetsbaar zijn. Ook is er informatie te vinden naar welke versie geüpdatet dient te worden.
Hoewel het installeren van de beschikbare updates de voorkeur heeft, biedt VMware ook een workaround wanneer updaten binnen jouw organisatie niet direct mogelijk is.

Het is gebruikelijk om serverbeheer zoals die van VMware vCenter niet direct benaderbaar te maken vanaf het internet en deze ook intern het liefst zo veel mogelijk af te schermen. Bespreek bovenstaande én deze beveiligingsmaatregelen met je IT-leverancier wanneer je niet zelf het beheer uitvoert op jouw VMware-omgeving.

Naar de beveiligingsupdates


Overzicht van door ransomwaregroepen gebruikte kwetsbaarheden

Het afgelopen jaar werden tal van organisaties het slachtoffer van ransomware. De groepen die voor deze aanvallen verantwoordelijk zijn maken naast phishingmails ook gebruik van bruteforce-aanvallen op RDP-systemen en kwetsbaarheden in veelgebruikte software. Onderzoekers hebben nu een overzicht gepubliceerd van kwetsbaarheden die ransomwaregroepen gebruiken om bij hun slachtoffers binnen te dringen. Het gaat om meer dan veertig beveiligingslekken. Iets minder dan de helft werd in dit jaar gevonden en zijn inmiddels door de betreffende leverancier gepatcht. Er zijn echter ook twaalf gebruikte kwetsbaarheden die uit 2017, 2018 en 2019 dateren. Organisaties wordt dan ook aangeraden beschikbare beveiligingsupdates te installeren. Het overzicht, dat werd opgesteld door onderzoeker Allan Liska en een onderzoeker met het alias Pancak3, komt overeen met overzichten van de FBI en de Amerikaanse geheime dienst NSA. De FBI publiceerde in juli van dit jaar een Top 30 van meest aangevallen kwetsbaarheden. De NSA kwam vorig jaar met een Top 25 van aangevallen beveiligingslekken. "Eén van de meest effectieve manieren om kwetsbaarheden te verhelpen is het updaten van software zodra patches beschikbaar zijn en praktisch is. Wanneer dit niet kan, overweeg dan tijdelijke workarounds of andere mitigaties als die door de leverancier zijn gegeven", aldus de FBI. Wanneer het niet mogelijk is voor een organisatie om snel alle software te updaten na het uitkomen van een patch wordt aangeraden om de hoogste prioriteit te geven aan kwetsbaarheden waar al misbruik van wordt gemaakt of waar de meeste systemen risico door lopen.

Kwetsbaarheden Die Vaak Misbruikt Worden
Afbeelding – 250,6 KB 270 downloads

Beveiligingslek treft virtuele machines binnen Microsoft Azure

Microsoft heeft afgelopen dinsdag tijdens de Patch Tuesday meerdere (beveiligings)updates beschikbaar gesteld. Eén van de updates lost een zeer ernstige kwetsbaarheid (kenmerk CVE-2021-38647) op voor Linux Machines die onder andere binnen Microsoft Azure draaien. De kwetsbaarheid is ook bekend onder de werktitel “OMIGOD”.

Omdat de kwetsbaarheid op afstand is uit te voeren, wordt actief misbruik door kwaadwillenden op korte termijn verwacht.

Wat is er aan de hand?

De kwetsbaarheid bevindt zich in de in de Open Management Infrastructure (OMI) software van Microsoft. Deze OMI management software wordt bijvoorbeeld gebruikt om Linux machines te beheren en monitoren. Aangezien de management software standaard een aantal poorten (5986, 5985 en/of 1270) openzet die vanaf het internet benaderbaar zijn, is deze kwetsbaarheid extra gevaarlijk. De kwetsbaarheid is hierdoor op afstand te misbruiken.

Uitbuiting van deze kwetsbaarheid kan er toe leiden dat de virtuele machine volledig wordt overgenomen. Zo kan een aanvaller op afstand willekeurige code uit voeren, rechten verhogen en gevoelige gegevens stelen. Er is met name veel aandacht voor de kwetsbaarheid binnen Microsoft Azure omdat de OMI management software daar automatisch geïnstalleerd wordt op Linux Virtuele Machines (VM’s).

Wat kan ik doen?

Microsoft heeft beveiligingsupdates beschikbaar gesteld voor deze kwetsbaarheden. Het advies is om deze zo spoedig mogelijk te (laten) installeren op Linux machines die de OMI-software gebruiken.

Als je niet zeker weet of je gebruik maakt van kwetsbare Linux machines, neem dan contact op met je IT-dienstverlener. Omdat de genoemde OMI-software automatisch wordt geïnstalleerd binnen Microsoft Azure, kan het zijn dat je je niet bewust bent van de aanwezigheid van deze software. Advies is om dit uit te (laten) zoeken.

Uitgebreide informatie over "OMIGOD" vind je op de website van Microsoft

Naar de beveiligingsupdates


"Apple heeft grote achterstand met verhelpen van kwetsbaarheden"

Apple heeft een grote achterstand met het verhelpen van gerapporteerde kwetsbaarheden, zo laten een huidige en voormalige medewerker van het techbedrijf tegenover The Washington Post weten. Volgens de bekende beveiligingsonderzoeker Katie Moussouris heeft Apple een slechte reputatie binnen de security-industrie wat voor minder veilige producten zal zorgen. Net als andere techbedrijven heeft Apple een bugbountyprogramma waarbij het onderzoekers beloont voor het melden van kwetsbaarheden. Volgens bronnen die met het programma bekend zijn is Apple traag met het verhelpen van kwetsbaarheden en krijgen onderzoekers niet altijd betaald waar ze denken recht op te hebben, aldus The Washington Post. In 2016 lanceerde Apple een besloten beloningsprogramma dat alleen iOS en iCloud dekte. Het programma werd in 2019 voor iedereen opengesteld en omvat sindsdien ook macOS, tvOS, iPadOS en watchOS. Voor ernstige kwetsbaarheden keert Apple een beloning van 1 miljoen dollar uit. Apple betaalde vorig jaar in totaal 3,7 miljoen dollar aan beloningen. Minder dan de 13,6 miljoen dollar van Microsoft en 6,7 miljoen dollar van Google. In een reactie stelt Apple dat het totaal uitgekeerde bedrag vorig jaar bijna is verdubbeld ten opzichte van het jaar daarvoor. Ook claimt het techbedrijf dat het de hoogste gemiddelde beloning binnen de industrie uitkeert. Tevens is Apple van plan om nieuwe beloningen voor onderzoekers te introduceren.


QNAP waarschuwt NAS-gebruikers voor kritieke kwetsbaarheden

QNAP heeft een waarschuwing afgegeven aan eigenaren van een NAS-systeem voor meerdere kritieke kwetsbaarheden waardoor aanvallers op afstand de apparaten kunnen overnemen. De eerste twee kritieke lekken zijn aanwezig in de NVR Storage Expansion. Via deze software is het mogelijk om beelden van camera- en videosystemen op het NAS-systeem op te slaan. Twee buffer overflows in de software maken het mogelijk voor een aanvaller om willekeurige code uit te voeren, aldus QNAP. Verdere details zijn niet door de fabrikant gegeven. De derde kritieke kwetsbaarheid is aanwezig in QUSBCam2. Dit is een "kleinschalig surveillancesysteem" waarbij een usb-camera op het NAS-systeem wordt aangesloten. Vervolgens is het mogelijk om op afstand te beelden te bekijken. Ook in deze software is een buffer overflow aanwezig die het uitvoeren van willekeurige code mogelijk maakt. QNAP geeft ook bij deze kwetsbaarheid geen verdere details. Verder waarschuwt QNAP ook voor twee buffer overflows in QTS, QuTS hero en QuTScloud, drie besturingssystemen voor NAS-apparaten. De impact van deze beveiligingslekken is als "high" beoordeeld, maar maken het wel mogelijk voor een aanvaller om willekeurige code uit te voeren. Voor alle beveiligingslekken zijn er door QNAP updates uitgebracht. Gebruikers wordt aangeraden om de laatste versie van de software te installeren.


Patch Frontinet VPN

Uit diverse bronnen is duidelijk geworden dat er een lijst is gelekt met een grote hoeveelheid Fortinet VPN-gebruikersnamen en wachtwoorden. Deze gegevens zijn waarschijnlijk buit gemaakt bij systemen die afgelopen zomer kwetsbaar waren voor CVE-2018-13379.

Dit betreft een ernstig incident want ook wanneer de beschikbare beveiligingsupdates wel al geïnstalleerd waren, kan misbruik momenteel nog steeds plaatsvinden. Dit kan omdat de Fortinet VPN-logingegevens toendertijd zijn gestolen en wachtwoorden van gebruikers mogelijk (nog) niet zijn gewijzigd. Met de VPN-inloggegevens kan een kwaadwillende netwerktoegang krijgen en vervolgens kwaadaardige software installeren, data stelen of (gerichte) ransomware-aanvallen uitvoeren. 

Wat moet je doen

  • Wijzig zo spoedig mogelijk alle wachtwoorden van alle VPN-gebruikers
  • Laat gebruikers weten waarom hun wachtwoord is gewijzigd. Adviseer hen om wanneer ze het gelekte wachtwoord bij andere websites of systemen hebben gebruikt, het daar ook te wijzigen.
  • Zet tweefactorauthenticatie (2FA) aan (als dat nog niet aan staat)
  • Installeer de meest recente beveiligingsupdates van Fortinet
  • Monitor op verdacht gedrag en mogelijke inbraken

Ben je er niet zeker van of er binnen jouw organisatie gebruik wordt gemaakt van Fortinet VPN-producten? Neem dan contact op met je IT-dienstverlener om dit te (laten) controleren en vraag om de benodigde maatregelen te nemen. Meer info van Fortinet


Censys: 8600 kwetsbare Confluence-servers toegankelijk vanaf internet

Ondanks waarschuwingen van allerlei overheidsinstanties en actief misbruik zijn er nog altijd 8600 Confluence-servers vanaf het internet toegankelijk die een kritieke beveiligingsupdate missen, zo stelt Censys. Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Een kwetsbaarheid in de software, aangeduid als CVE-2021-26084, maakt het mogelijk voor een aanvaller om willekeurige code op het systeem uit te voeren en zo volledige controle over de server te krijgen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. Op 25 augustus verscheen er een beveiligingsupdate voor de kwetsbaarheid. Sinds begin september maken aanvallers actief misbruik van de kwetsbaarheid. Zo werd een Confluence-server van softwareproject Jenkins overgenomen. Op 25 augustus waren er volgens Censys zo'n 14.600 Confluence-servers op het internet te vinden. Sindsdien zijn er zo'n zesduizend servers geüpdatet, wat inhodut dat er nog altijd 8600 Confluence-servers risico lopen om te worden aangevallen.

Censys Kwetsbare Confluence Servers
PDF – 270,4 KB 359 downloads

Actief misbruik Confluence: installeer updates

Het NCSC heeft geconstateerd dat een kwetsbaarheid in Atlassian Confluence door kwaadwillenden actief wordt misbruikt. Misbruik van deze kwetsbaarheid kan er onder andere toe leiden dat kwaadwillenden een systeem overnemen of toegang krijgen tot gevoelige informatie. Misbruik door kwaadwillenden is eenvoudig, mede doordat voorbeeldcode op internet beschikbaar is waarmee de kwetsbaarheid kan worden misbruikt. Het NCSC adviseert organisaties en bedrijven die gebruik maken van Atlassian Confluence zo snel mogelijk de beschikbare updates te installeren.

Op 26 augustus 2021 publiceerde het NCSC een beveiligingsadvies over deze kwetsbaarheid in Confluence. Vanwege het geconstateerde actieve misbruik is de inschaling van dit beveiligingsadvies vandaag naar high/high opgeschaald.