Kwetsbaarheden CVE's


20242023 | 2022 | 2021




Kwetsbaarheid in OpenSSL: bereid je voor op updates

Er is een kritieke kwetsbaarheid gevonden in OpenSSL 3.0. Het ontwikkelteam van OpenSSL heeft aangekondigd dat zij dinsdag 1 november 2022 versie 3.0.7 uitbrengen. In deze nieuwe versie wordt de kwetsbaarheid verholpen. De kwetsbaarheid is niet aanwezig in versies lager dan 3.0. Versies 1.1.1 en 1.0.2 zijn dus niet getroffen door dit probleem. OpenSSL behoort tot de meest gebruikte softwarecomponenten voor het versleutelen van netwerkverbindingen. Het NCSC adviseert om in kaart te brengen welke software binnen uw organisatie gebruik maakt van OpenSSL. Bereid uw organisatie voor om relevante software direct te patchen zodra updates beschikbaar zijn. Om organisaties te ondersteunen bij het in kaart brengen van kwetsbare systemen, heeft het NCSC een Github-pagina opgezet waarop een overzicht wordt bijgehouden van producten die gebruik maken van OpenSSL. Waar mogelijk wordt aangegeven welke producten gebruik maken van een kwetsbare versie. Het NCSC zal de komende tijd deze Github-pagina actief bijhouden. Op dit moment is er geen nadere informatie over de kwetsbaarheid beschikbaar. Het is het NCSC niet bekend of het probleem in een of meerdere 3.0 versies bestaan en of er reeds misbruik heeft plaatsgevonden. Zodra de patch of relevante informatie beschikbaar komt brengt het NCSC een beveiligingsadvies uit.


Apple verhelpt actief aangevallen zerodaylek ook in oudere iPhones en iPads

Drie dagen nadat Apple een beveiligingsupdate uitrolde voor een actief aangevallen zerodaylek in iOS, is het probleem ook in oudere iPhones en iPads verholpen. Afgelopen maandag kwam Apple met iOS 16.1 en iPadOS 16. Met deze versies werd onder andere CVE-2022-42827 verholpen. Een zerodaylek in de iOS-kernel waardoor een aanvaller die al toegang tot het toestel heeft code met kernelrechten kan uitvoeren. Hierdoor is het mogelijk om volledige controle over het toestel te krijgen. De kwetsbaarheid is op zichzelf niet voldoende om een iPhone of iPad op afstand over te nemen en zou moeten worden gecombineerd met een tweede kwetsbaarheid, bijvoorbeeld in een browser of chatapp, of via een applicatie die de gebruiker installeert. IOS 16.1 is echter alleen beschikbaar voor de iPhone 8 en nieuwer. Gisterenavond heeft Apple iOS 15.7.1 en iPadOS 15.7.1 uitgebracht, waardoor ook eigenaren van een oudere iPhone (iPhone 6 en 7) of iPad of mensen die nog niet naar iOS 16 zijn overgestapt zijn beschermd. De update is beschikbaar via de automatische updatefunctie. Het kan echter tot een week duren voordat de update automatisch wordt geïnstalleerd, afhankelijk van wanneer het toestel op updates controleert. Gebruikers kunnen de update ook handmatig installeren door naar het updatemenu te gaan of die via iTunes te installeren.


Apple geeft meer informatie over beloningen voor gemelde kwetsbaarheden

Apple heeft op de eigen website meer informatie gepubliceerd over de bedragen die het uitkeert voor gemelde kwetsbaarheden en wanneer het dit doet. Zo biedt het bedrijf 2 miljoen dollar voor het omzeilen van de Lockdown Mode in iOS en macOS en levert het volledig op afstand overnemen van iPhones, zonder interactie van gebruikers, 1 miljoen dollar op. Tal van bedrijven bieden onderzoekers de mogelijkheid om beveiligingslekken via een bugbountyprogramma te melden. Bij Apple ontbrak lange tijd een dergelijk programma, tot grote kritiek van beveiligingsexperts en onderzoekers. Pas eind 2019 kwam Apple met een openbaar bugbountyprogramma. Sindsdien heeft het bedrijf naar eigen zegen 20 miljoen dollar aan beloningen uitgekeerd. Twintig keer ging het om bedragen van meer dan 100.00 dollar voor ernstige beveiligingslekken. Sinds de lancering van het publieke bugbountyprogramma eind 2019 heeft Apple nu een eerste update gegeven en verschillende aanpassingen aangekondigd. Zo moet het eenvoudiger voor onderzoekers worden om beveiligingsproblemen te melden en is er een nieuwe tracker waarmee status-updates van de bugmelding zijn te volgen. Verder geeft Apple via de eigen website nu meer informatie over de soorten kwetsbaarheden waarvoor het beloningen uitkeert en de bedragen die ermee te verdienen zijn. Als laatste kunnen onderzoekers zich nu al aanmelden voor het Apple Security Research Device Program, waarbij onderzoekers van Apple een speciale iPhone voor onderzoeksdoeleinden krijgen.


Microsoft verhelpt probleem met verouderde driver-blocklist voor Windows 10

Microsoft heeft het probleem met de driver-blocklist voor Windows 10 verholpen, nadat eerder bekend was geworden dat die al drie jaar lang niet automatisch op systemen werd bijgewerkt. Het afgelopen jaar zijn er verschillende aanvallen waargenomen waarbij aanvallers een kwetsbare driver op het aangevallen systeem installeren. Via de kwetsbaarheid in de driver kunnen de aanvallers hun rechten verder verhogen en bijvoorbeeld beveiligingssoftware uitschakelen. De techniek wordt Bring Your Own Driver of Bring Your Own Vulnerable Driver genoemd. Om Windowscomputers tegen kwetsbare drivers te beschermen zijn Windows 10, 11 en Server 2016 en nieuwer voorzien van een blocklist die via Windows Update wordt bijgewerkt. Op de lijst staan kwetsbare drivers die Windows niet zal laden. Het automatisch bijwerken van de lijst is op Windows 10 is echter drie jaar lang niet gebeurd, zo ontdekte beveiligingsonderzoeker Will Dormann. Meer dan een maand sinds Dormann via Twitter aan de bel trok is Microsoft nu met een update gekomen die het probleem verhelpt voor Windows 10-machines waarop Hypervisor-protected Code Integrity (HVCI) is ingeschakeld of die Windows in de S-mode draaien. Voor Windows 11 staat de blocklist na installatie van de 2022 Update op alle systemen ingeschakeld. Gebruikers kunnen de blocklist op zowel Windows 10 als Windows 11 uitschakelen.


OpenSSL komt voor tweede keer in de geschiedenis met update voor kritiek lek

OpenSSL zal volgende week voor de tweede keer sinds het bestaan van de software met een beveiligingsupdate voor een kritieke kwetsbaarheid komen. De vorige keer was in september 2016. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Een aantal keren per jaar verschijnt er een nieuwe versie van de software, waarmee onder andere beveiligingslekken worden verholpen. OpenSSL kent vier niveaus om de impact van kwetsbaarheden te beoordelen: low, moderate, high en critical. Voor beveiligingslekken die als high en critical zijn beoordeeld zal het OpenSSL-team een nieuwe versie uitbrengen. De overige twee categorieën kwetsbaarheden worden tijdens geplande updaterondes verholpen. Via kritieke kwetsbaarheden, een categorie die sinds 28 september 2015 door OpenSSL wordt gehanteerd, kunnen aanvallers bijvoorbeeld servers overnemen of de private keys van de server stelen, waarmee versleuteld verkeer is te ontsleutelen. Daardoor kunnen aanvallers allerlei gevoelige gegevens stelen. Bij beveiligingslekken met de beoordeling high is dit ook mogelijk, maar kan het zijn dat misbruik lastiger is of alleen systemen met bepaalde configuraties raakt. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug uit 2014 eerder aangetoond. Via dit lek werd informatie uit het geheugen van webservers gestolen, waaronder privésleuteld die voor TLS-certificaten worden gebruikt. Ook werd de kwetsbaarheid ingezet bij aanvallen tegen vpn-servers. Het OpenSSL Project Team heeft vandaag aangekondigd dat op dinsdag 1 november een beveiligingsupdate verschijnt voor een kritieke kwetsbaarheid in OpenSSL 3.x. De patch zal tussen 14.00 en 18.00 uur verschijnen. Voor OpenSSL versie 1.1.x is geen beveiligingsupdate aangekondigd.


Hackers misbruiken kritieke kwetsbaarheden in Veeam Backup

Securitybedrijf CloudSEK onthult drie kritieke kwetsbaarheden in Veeam Backup & Replication, een van de populairste backupoplossingen van het moment. De kwetsbaarheden zijn door meerdere cybercriminelen misbruikt. Werk je met de meest recente versie van Backup & Replication, dan ben je veilig. Veeam loste de kwetsbaarheden in november 2021 op met softwareversie 11.0.1.1261. De details werden toentertijd geheimgehouden om te voorkomen dat cybercriminelen de informatie misbruikten voor aanvallen op gebruikers met verouderde softwareversies. Het laatste blijft een risico, want sommige gebruikers zijn nog steeds niet up-to-date. CloudSEK, de ontdekker van de kwetsbaarheden, vindt de situatie inmiddels veilig genoeg om de details te onthullen. Op 24 oktober publiceerde het securitybedrijf een rapport over drie kritieke kwetsbaarheden in Veeam Backup & Replication. Twee van de kwetsbaarheden (CVE-2022-26500 en CVE-2022-26501) stellen cybercriminelen in staat om code op afstand uit te voeren, ook wel bekend als remote code execution. Aanvallers hebben geen inloggegevens nodig om binnen te komen. Vandaar ontvingen de kwetsbaarheden een zeldzame CVSS-score van 9,8. Ook de derde kwetsbaarheid (CVE-2022-26504) maakt het mogelijk om code op afstand uit te voeren. De voorwaarde is dat een aanvaller over domeingegevens beschikt. Vandaar ontving de kwetsbaarheid een lagere CVSS-score van 8.8.


Cisco meldt actief misbruik van lekken in AnyConnect Secure Mobility Client

Twee kwetsbaarheden in Cisco AnyConnect Secure Mobility Client waarvoor meer dan twee jaar geleden updates verschenen worden actief misbruikt, zo laat Cisco vandaag weten. De AnyConnect Secure Mobility Client is vpn-software waarmee gebruikers verbinding met een vpn-server kunnen maken. Op 19 februari 2020 en 5 augustus 2020 kwam Cisco met beveiligingsupdates voor de vpn-software. Aanleiding waren twee kwetsbaarheden (CVE-2020-3153 en CVE-2020-3433) die een "DLL hijacking attack" mogelijk maken. Een aanvaller die al toegang tot een systeem heeft kan via dergelijke aanvallen software op het systeem een kwaadaardig DLL-bestand laten laden dat met verhoogde rechten wordt uitgevoerd. In het geval van de kwetsbaarheden in de Cisco vpn-software kan een aanvaller zo systeemrechten krijgen en het systeem volledig overnemen. De beveiligingslekken mogen dan meer dan twee jaar oud zijn, deze maand ontdekte Cisco zelf dat er misbruik van wordt gemaakt. Het netwerkbedrijf roept klanten dan ook om de beschikbaar gemaakte beveiligingsupdates te installeren.


VS waarschuwt voor lekken in Gigabyte-drivers gebruikt door ransomware

Het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, heeft een waarschuwing gegeven voor vier oude kwetsbaarheden in drivers van moederbordfabrikant Gigabyte waarmee lokale aanvallers volledige controle over systemen kunnen krijgen. Begin dit jaar meldde antivirusbedrijf Sophos al dat één van de kwetsbaarheden bij ransomware-aanvallen werd gebruikt. De techniek wordt Bring Your Own Driver of Bring Your Own Vulnerable Driver genoemd. Drivers draaien met verhoogde rechten op het systeem. Kwetsbaarheden in drivers bieden aanvallers de mogelijkheid om het kernelgeheugen te lezen of schrijven en daarin code uit te voeren, om zo beveiligingssoftware uit te zetten. De afgelopen maanden bleken aanvallers onder andere een anti-cheatdriver van de videogame Genshin Impact en drivers van antivirusbedrijf Avast en MSI AfterBurner bij ransomware-aanvallen te hebben gebruikt voor het neutraliseren van antivirussoftware. Nu waarschuwt het CISA ook voor misbruik van Gigabyte-drivers. Details over de aanvallen zelf zijn niet gegeven. De vier kwetsbaarheden (CVE-2018-19320, CVE-2018-19321, CVE-2018-19322 en CVE-2018-19323) werden in 2018 gerapporteerd. Destijds ontkende Gigabyte dat de eigen producten kwetsbaar waren, maar kwam daar later op terug. Zodra aanvallers toegang tot een systeem hebben installeren ze de drivers om hun rechten te verhogen. Het CISA verzoekt nu federale overheidsinstanties die van de betreffende drivers gebruikmaken om de beveiligingsupdates hiervoor te installeren. Die werden op 18 mei 2020 door Gigabyte uitgebracht.


Apple verhelpt wederom actief aangevallen zerodaylek in iOS-kernel

Apple heeft wederom een actief aangevallen zerodaylek in de kernel van iOS verholpen. Vorige maand kwam het techbedrijf ook al met een beveiligingsupdate voor een dergelijke kwetsbaarheid in de kernel. Via de kwetsbaarheid kan een malafide applicatie of aanvaller met toegang tot het systeem code met kernelrechten uitvoeren. Zo is het mogelijk om volledige controle over de iPhone of iPad te krijgen. Het beveiligingslek, aangeduid als CVE-2022-42827, is op zichzelf niet voldoende om systemen op afstand over te nemen. Daarvoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in de browser. Details over de waargenomen aanvallen zijn niet door Apple gegeven. Het techbedrijf werd door een anonieme onderzoeker over het zerodaylek ingelicht. Met iOS 16.1 en iPadOS 16 zijn in totaal twintig kwetsbaarheden opgelost. De gevaarlijkste kwetsbaarheden bevinden zich in WebKit, de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Het verwerken van malafide webcontent door de browser maakt het mogelijk voor een aanvaller om willekeurige code op het toestel van de gebruiker uit te voeren. Dergelijke kwetsbaarheden zijn via een drive-by download te misbruiken, waarbij het bezoeken van een gecompromitteerde of malafide website volstaat om te worden aangevallen. Verdere interactie is niet vereist. Updaten naar de nieuwste versie van iOS en iPadOS kan via de updatefunctie of iTunes. Apple heeft dit jaar al acht zerodays in de eigen producten gerepareerd.


NAS-apparaten Synology via kritieke lekken op afstand over te nemen

NAS-apparaten van fabrikant Synology zijn via drie kritieke kwetsbaarheden op afstand over te nemen. Misbruik van de beveiligingslekken is eenvoudig en vereist geen interactie van gebruikers. Synology heeft updates uitgebracht om de problemen te verhelpen. De impact van de drie beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Door het versturen van een speciaal geprepareerd pakket kan een aanvaller willekeurige commando's op het NAS-apparaat uitvoeren. Het probleem speelt bij drie NAS-apparaten: DS3622xs+, FS3410 en HD6500. De kwetsbaarheden (CVE-2022-27624, CVE-2022-27625 en CVE-2022-27626), die Synology zelf ontdekte, zijn verholpen in DiskStation Manager (DSM) versie 7.1.1-42962-2 en nieuwer. Het afgelopen jaar zijn met name NAS-apparaten van QNAP geregeld het doelwit van ransomware-aanvallen geworden. Vorig jaar augustus werd echter ook een exemplaar ontdekt dat Synology-systemen infecteerde.


Lek in SHA-3-implementatie maakt collisions en preimage-aanvallen mogelijk

In de officiële implementatie van het SHA-3-hashingalgoritme is een kwetsbaarheid gevonden die collisions en preimage-aanvallen mogelijk maakt. Het probleem speelt ook bij Python, PHP en verschillende andere projecten die van de code gebruikmaken. Het beveiligingslek, aangeduid als CVE-2022-37454, zat al sinds januari 2011 in de code, wat volgens onderzoeker Nicky Mouha aangeeft hoe lastig het is om kwetsbaarheden in cryptografische implementaties te vinden, ook al spelen die een belangrijke rol in de veiligheid van systemen. Het secure hash algorithm (SHA) is een hashfunctie die van data een unieke hashcode maakt. Een hashingalgoritme wordt als veilig beschouwd als het voor elke willekeurige invoer een unieke uitvoer heeft en dat die uitvoer niet is terug te draaien zodat de invoer achterhaald kan worden. Doordat de uitvoer niet is te manipuleren worden hashes gebruikt om bijvoorbeeld de geldigheid van certificaten en bestanden aan te tonen en het gehasht opslaan van wachtwoorden. Er zijn verschillende SHA-versies in omloop, waarvan SHA-2 het meestgebruikt is. Vanwege verschillende aanvallen is besloten om het gebruik van SHA-1 uit te faseren. SHA-3 is de meest recente versie. Wanneer de officiële SHA-3-implementatie (XKCP) bepaalde invoer te verwerken krijgt kan er een buffer overflow ontstaan, zo ontdekte Mouha. Hij is onderzoeker bij het Amerikaanse National Institute of Standards and Technology (NIST), dat onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid. Via de kwetsbaarheid zijn volgens Mouha verschillende soorten aanvallen mogelijk, zoals collisions. Bij dergelijke aanvallen geeft verschillende invoer dezelfde uitvoer. Daardoor zijn digitale handtekeningen die met het algoritme zijn gemaakt niet meer te vertrouwen. Ook is het zo mogelijk om vervalste certificaten te maken die als echt worden beschouwd, waarmee bijvoorbeeld man-in-the-middle-aanvallen zijn uit te voeren. Verder maakt de kwetsbaarheid in XKCP "preimage-aanvallen" mogelijk. Daarmee kan een aanvaller aan de hand van een hash de originele invoer achterhalen. Mouha meldt dat hij het bestaan van de kwetsbaarheid met andere partijen heeft gecoördineerd. Er is echter weinig verdere informatie over updates te vinden. De onderzoeker merkt verder op dat hij ook andere beveiligingslekken heeft gevonden maar die nu nog niet kan openbaren.


VS roept overheidsinstanties op om actief aangevallen Linux-lek te patchen

Het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, heeft federale overheidsinstanties opgeroepen om een actief aangevallen kwetsbaarheid in de Linux-kernel te patchen. Via het beveiligingslek kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen tot root. Vorig jaar april kwam Ubuntu met een beveiligingsupdate voor de kwetsbaarheid (CVE-2021-3493). Afgelopen maand meldde AT&T Alien Labs dat een malware-exemplaar genaamd Shikitega, dat zich op Internet of Things-apparaten en Linux-endpoints richt, misbruik van het beveiligingslek maakt. Hoe aanvallers toegang tot systemen weten te krijgen wordt in de analyse niet vermeld. De kwetsbaarheid in de Linux-kernel alleen is onvoldoende om systemen over te nemen. Via de malware wordt onder andere een cryptominer op systemen geïnstalleerd, maar aanvallers kunnen de systemen ook voor andere doeleinden gebruiken. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging bestaat uit twee kwetsbaarheden. Naast een kwetsbaarheid in de Zimbra-mailserver gaat het ook om het lek in de Linux-kernel, dat Amerikaanse overheidsinstanties voor 10 november moeten hebben gepatcht.


Oracle roept organisaties op om updates voor kritieke lekken meteen te installeren

Oracle heeft tijdens de patchronde van oktober 370 beveiligingsupdates voor een groot aantal producten uitgebracht en roept organisaties op om die meteen te installeren. Volgens het softwarebedrijf worden organisaties nog altijd succesvol aangevallen omdat ze nagelaten hebben beschikbare patches uit te rollen. De 370 updates zijn niet te vertalen naar een zelfde aantal kwetsbaarheden, aangezien een beveiligingslek in meerdere producten kan voorkomen. Tientallen beveiligingslekken hebben op een schaal van 1 tot en met 10 een impactscore van 9.8 gekregen. Dat houdt vaak in dat een aanvaller deze producten op afstand, zonder al teveel moeite en zonder zich te authenticeren kan aanvallen, om vervolgens willekeurige code uit te voeren. Het gaat onder andere om Data Integrator, WebCenter Sites, Healthcare Foundation, JD Edwards EnterpriseOne Tools, MySQL Enterprise Backup, GoldenGate, Secure Backup, Commerce Platform en verschillende communcatie-applicaties van Oracle. Wanneer organisaties updates niet meteen kunnen installeren geeft Oracle als tijdelijke oplossing om de netwerkprotocollen vereist voor een aanval te blokkeren, rechten van gebruikers te verwijderen of de mogelijkheid om packages te benaderen, maar erkent ook dat dit ervoor kan zorgen dat applicaties niet meer werken. In tegenstelling tot bijvoorbeeld Adobe of Microsoft, die elke maand met updates komen, brengt Oracle eens per kwartaal patches uit. De volgende patchronde staat gepland voor 17 januari 2023.


Kwetsbaarheid in Apache Commons Text

Er is een ernstige kwetsbaarheid ontdekt in Apache Commons Text. De beveiligingsfout is bekend onder de noemer CVE-2022-42889. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Omdat er een publieke exploitcode beschikbaar is gekomen die beschrijft hoe deze kwetsbaarheid misbruikt kan worden, heeft ook het NCSC de kwetsbaarheid ingeschaald als High/High; de kans op misbruik op korte termijn én de potentiële schade is groot. Apache Foundation heeft beveiligingsupdates beschikbaar gesteld.  

Wat is er aan de hand? 

De beveiligingsfout stelt een ongeauthenticeerde aanvaller in staat om willekeurige code uit te voeren op kwetsbare systemen. Proof-of-Concept code is gepubliceerd die aantoont hoe kwetsbare functionaliteit kan worden misbruikt. De kans bestaat dat er verhoogde media-aandacht rondom deze kwetsbaarheid zal ontstaan aangezien publieke bronnen deze kwetsbaarheid linken aan de Log4Shell-kwetsbaarheid van begin dit jaar. Ook heeft de kwetsbaarheid inmiddels al een soortgelijke naam gekregen namelijk Text4Shell. Hoewel de kwetsbaarheid overeenkomsten heeft, is volgens het NCSC het aanvalsoppervlak van deze kwetsbaarheid beperkter gezien de specifieke toepassing van Commons Text.

Wat kan je doen?  

Voor nu is het advies om de beschikbare beveiligingsupdates te (laten) installeren als je gebruik maakt van Apache Commons Text. De kans is groot dat het voor jou als ondernemer lastig of zelfs onmogelijk is om te bepalen of je gebruik maakt van dit stuk software. Het is daarom aan te raden om dit te bespreken met je IT-dienstverlener. Het DTC monitort de ontwikkelingen en zal wanneer dat mogelijk is dit artikel updaten en voorzien van nieuwe informatie. Voor de technische achtergrond en mogelijke updates rondom deze kwetsbaarheid is meer informatie te vinden op de pagina van Apache voor ontwikkelaars


Fortinet herhaalt oproep om aangevallen FortiOS-lek direct te patchen

Fortinet heeft de oproep aan organisaties en bedrijven herhaald om een kritieke kwetsbaarheid in FortiOS, waar aanvallers actief misbruik van maken, direct te patchen. Een groot aantal apparaten is nog altijd kwetsbaar. Via het beveiligingslek in FortiOS, aangeduid als CVE-2022-40684, kan een ongeauthenticeerde aanvaller toegang tot de beheerdersinterface van FortiGate firewalls, FortiProxy webproxies en FortiSwitch Manager krijgen en daar allerlei acties uitvoeren. Volgens Fortinet werd er voor zover bekend in één geval misbruik van het beveiligingslek gemaakt. Op 6 oktober besloot het eigenaren van kwetsbare apparaten te infomeren voordat het met een algemeen beveiligingsbulletin zou komen. Dat bulletin verscheen op 10 oktober. Inmiddels is er proof-of-concept exploitcode beschikbaar gekomen waarmee misbruik van het lek kan worden gemaakt. Sindsdien zijn aanvallers op grote schaal bezig met het aanvallen van kwetsbare Fortinet-apparaten. "Na meerdere notificaties van Fortinet de afgelopen week, zijn er nog steeds veel kwetsbare apparaten die een oplossing vereisen", aldus Carl Windsor van Fortinet. Het netwerkbedrijf roept klanten dan ook nogmaals op om de beschikbare update voor het probleem te installeren. Verder moeten klanten hun configuratie controleren of er geen ongeautoriseerde aanpassingen zijn doorgevoerd. Bij de waargenomen aanvallen wordt geprobeerd om de SSH-key van de beheerder aan te passen. Een aanvaller kan zo vervolgens op het systeem als beheerder inloggen.


Tienduizenden VMware ESXi-servers niet meer ondersteund met updates

Zeker tienduizenden VMware ESXi-servers zijn sinds 15 oktober end-of-life en worden niet meer met beveiligingsupdates ondersteund. Alleen al bij organisaties die hun it-omgeving via beheertool Lansweeper beheren gaat het om meer dan 45.000 servers. Dat laat Lansweeper in een blogposting weten. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. Sinds 15 oktober worden vSphere 6.5.x en 6.7.x niet meer door VMware ondersteund. Lansweeper onderzocht de impact nu deze versies end-of-life zijn. Meer dan zesduizend organisaties gebruiken de software van het bedrijf voor het beheer van hun it-omgeving. Bij deze klanten werden 79.000 ESXi-servers aangetroffen. Daarvan draaien er meer dan 45.000 (58 procent) op één van de twee niet meer ondersteunde versies. Verder bleek dat er nog eens ruim 12.000 ESXi-servers (16 procent) zijn die al veel langer geen beveiligingsupdates meer ontvangen. Organisaties worden dan ook aangeraden naar een nog wel ondersteunde versie te upgraden. In het verleden zijn kwetsbaarheden in ESXi gebruikt om organisaties met ransomware te infecteren.


Windows 10-blocklist voor kwetsbare drivers al drie jaar lang niet bijgewerkt

Een blocklist waarmee Windows 10 systemen beschermt tegen aanvallen met kwetsbare drivers is al zeker drie jaar lang niet door Microsoft bijgewerkt, wat aanvallers kan helpen bij het uitvoeren van aanvallen. Het afgelopen jaar zijn er verschillende aanvallen waargenomen waarbij aanvallers een kwetsbare driver op het systeem installeren. Via de kwetsbaarheid in de driver kunnen de aanvallers hun rechten verder verhogen en bijvoorbeeld beveiligingssoftware uitschakelen. De techniek wordt Bring Your Own Driver of Bring Your Own Vulnerable Driver genoemd. Om Windowscomputers tegen kwetsbare drivers te beschermen zijn Windows 10, 11 en Server 2016 en nieuwer voorzien van een blocklist die via Windows Update wordt bijgewerkt. Op de lijst staan kwetsbare drivers die Windows niet zal laden. Het automatisch bijwerken van de lijst is op Windows 10 is echter drie jaar lang niet gebeurd, zo ontdekte beveiligingsonderzoeker Will Dormann. Volgens Microsoft wordt de blocklist standaard gebruikt op Windows 10-systemen waar Hypervisor-Protected Code Integrity (HVCI) staat ingeschakeld. Voor Windows 11 is dat het geval na de installatie van de 2022 Update. Dormann waarschuwde Microsoft dat het probleem erkent en zegt met een oplossing te komen, maar exacte details ontbreken. Zo is onduidelijk hoelang de blocklist niet is bijgewerkt en wanneer het probleem wordt verholpen. Wel is de documentatie over de blocklist bijgewerkt, die nu laat weten hoe updates handmatig zijn te downloaden en installeren. Dormann heeft een script gemaakt dat het downloaden en installeren van de blocklist automatiseert.


Kritieke kwetsbaarheid in FortiGate en FortiProxy

Er is een publieke exploitcode beschikbaar gekomen. Dit beschrijft hoe de kwetsbaarheid misbruikt kan worden en dat kan misbruik in de hand werken. Fortinet geef aan dat de kwetsbaarheid op zeer beperkte schaal is misbruikt. Misbruik kan worden waargenomen in de logbestanden. De aanwezigheid van één of meer regels met user="local_Process_Access" duidt op mogelijk misbruik van de kwetsbaarheid. Het advies blijft om zo snel mogelijk de updates te installeren en mitigerende maatregelen te treffen.


Microsoft dicht zerodaylek in Windows, heeft Exchange-updates nog niet klaar

Tijdens de patchdinsdag van oktober heeft Microsoft 85 kwetsbaarheden in de eigen producten verholpen, waaronder een actief aangevallen zerodaylek in Windows en een kritieke kwetsbaarheid waardoor Kubernetes-clusters zijn over te nemen. Updates voor twee zerodays in Exchange Server zijn niet verschenen. De patches zijn volgens Microsoft nog niet klaar. Het zerodaylek dat Microsoft deze maand heeft gepatcht, aangeduid als CVE-2022-41033, bevindt zich in de Windows COM+ Event System Service. Een aanvaller die al toegang tot een systeem heeft kan via de kwetsbaarheid in deze Windows-service zijn rechten verhogen en zo het systeem volledig overnemen. Het beveiligingslek was door een anonieme beveiligingsonderzoeker aan Microsoft gerapporteerd. Verdere details over de aanvallen zijn niet door het techbedrijf gegeven. Een andere kwetsbaarheid die deze maand de aandacht verdient bevindt zich in de cluster connect feature van Azure Arc-enabled Kubernetes clusters. Via dit beveiligingslek (CVE-2022-37968) kan een ongeauthenticeerde gebruiker zijn rechten verhogen en beheerderscontrole over de Kubernetes-cluster krijgen. Om op afstand misbruik van dit lek te maken moet een aanvaller wel het willekeurig gegenereerde dns-endpoint van een Azure Arc-enabled Kubernetes cluster weten. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10. Grote afwezige in de patchronde zijn updates voor twee actief aangevallen zerodaylekken in Exchange Server. Microsoft waarschuwde eind vorige maand voor de aanvallen en kwam met tijdelijke mitigaties waarmee organisaties zich kunnen beschermen. Via de kwetsbaarheid kan een aanvaller die over de inloggegevens van een mailbox beschikt Exchange-servers op afstand overnemen. De updates om de kwetsbaarheden te verhelpen zijn echter nog niet klaar, aldus Microsoft. Wanneer ze wel zullen verschijnen is nog onbekend.


Apple verhelpt iOS-lek waardoor aanvaller Mail-app kan laten crashen

Apple heeft een beveiligingsupdate voor iOS uitgebracht die een kwetsbaarheid verhelpt waarmee een aanvaller de Mail-app door middel van een malafide e-mail kan laten crashen. Volgens Apple was er een probleem met de invoervalidatie van de app, maar verdere details worden niet gegeven. Verder zijn er voor zover bekend geen andere kwetsbaarheden met iOS 16.0.3 verholpen. Het komt zelden voor dat Apple met een patchronde slechts één kwetsbaarheid verhelpt. Daarnaast is het betreffende beveiligingslek geen kritiek probleem dat bijvoorbeeld het op afstand overnemen van iPhones mogelijk maakt. In het verleden is het weleens voorgekomen dat Apple op een later moment bekendmaakt dat er met een bepaalde update meer kwetsbaarheden zijn verholpen dan in eerste instantie is aangegeven. Updaten naar iOS 16.0.3 kan via de automatische updatefunctie en iTunes.


Microsoft komt opnieuw met aanpassing in mitigatie Exchange-zerodaylekken

Organisaties die zichzelf willen beschermen tegen twee actief aangevallen zerodaylekken in Exchange Server en de tijdelijke mitigatiemaatregel van Microsoft hebben doorgevoerd moeten die opnieuw aanpassen, zo laat het techbedrijf weten. Een beveiligingsupdate is nog altijd niet beschikbaar gemaakt en zal naar verwachting morgenavond verschijnen. Eind september waarschuwde Microsoft voor twee kwetsbaarheden waar aanvallers actief misbruik van maken om Exchange-servers te compromitteren en waarvoor nog altijd geen beveiligingsupdates beschikbaar zijn. De aanvallen zouden voor zover bekend al sinds augustus plaatsvinden. Microsoft kwam echter met tijdelijke mitigerende maatregelen, waaronder een URL-rewrite om bepaalde patronen in requests te detecteren en blokkeren. Hierdoor zouden de nu waargenomen aanvallen niet meer moeten werken. De URL-rewrite van Microsoft bleek echter eenvoudig te omzeilen, zo ontdekte een beveiligingsonderzoeker. Slechts het aanpassen van één karakter was voldoende. Microsoft kwam op 4 oktober met een aangepaste URL-rewrite. Op 7 oktober werd deze aangepaste URL-rewrite zelf aangepast, gevolgd door een nieuwe correctie op 8 oktober. Microsoft roept organisaties op om de laatste URL-rewrite te gebruiken.Een beveiligingsupdate is nog altijd niet door Microsoft beschikbaar gemaakt. De softwarefabrikant kan bij actief aangevallen kwetsbaarheden overgegaan tot een "out-of-band" update, waarbij de patch buiten de vaste patchdinsdag beschikbaar wordt gemaakt. Aangezien een dergelijke patch nog altijd niet is verschenen zal de betreffende update voor de twee Exchange-zerodaylekken zeer waarschijnlijk tijdens de patchdinsdag van oktober verschijnen, waarvan de patches vanaf morgenavond om 19.00 uur beschikbaar zijn.


Aanvallers maken actief misbruik van zerodaylek in Zimbra Collaboration Suite

Aanvallers maken actief misbruik van een zerodaylek in Zimbra Collaboration Suite om mailservers over te nemen. Een beveiligingsupdate is nog niet beschikbaar, een workaround wel. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. Zimbra-mailservers zijn geregeld het doelwit van aanvallen, zo kwam de Amerikaanse overheid in augustus nog met een waarschuwing om de software up-to-date te houden. Zimbra maakt gebruik van antivirussoftware Amavis om archiefbestanden om malware te scannen. Het nu aangevallen probleem doet zich voor bij Zimbra-mailservers die archiveringstool cpio gebruiken voor het controleren van de inhoud van archiefbestanden. Door het versturen van een speciaal geprepareerd archiefbestand dat door cpio wordt uitgepakt kan een aanvaller naar elk pad op het filesystem schrijven waar de Zimbra-gebruiker toegang toe heeft. Op deze manier is het mogelijk om een webshell te installeren en zo willekeurige code op de mailserver uit te voeren. Dat het gebruik van cpio een beveiligingsrisico kan zijn, is al sinds 2015 bekend. Vorige maand kwam Zimbra zelf met een waarschuwing en advies om cpio te vervangen door archiveringstool pax. Pax is standaard geïnstalleerd op Ubuntu. Ubnuntu-gebaseerde installaties van Zimbra zijn dan ook niet kwetsbaar. Dat is wel het geval bij Zimbra-installaties gebaseerd op Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 en CentOS 8, zo meldt securitybedrijf Rapid7. Volgens het securitybedrijf is de overstap naar pax de beste optie, aangezien cpio niet veilig is te gebruiken omdat verschillende besturingssystemen een beveiligingsupdate voor het probleem met de archiveringstool hebben verwijderd. Zimbra heeft aangegeven dat het van plan is om de afhankelijkheid van cpio te verwijderen en pax de standaard te gaan maken.


Fortinet waarschuwt organisaties om kritiek lek in FortiOS direct te patchen

Netwerkbedrijf Fortinet waarschuwt organisaties om een kritieke kwetsbaarheid in FortiOS en FortiProxy direct te patchen Via het beveiligingslek, aangeduid als CVE-2022-40684, kan een ongeauthenticeerde aanvaller toegang tot de beheerdersinterface krijgen en daar allerlei acties uitvoeren. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en switches. Vanwege het feit dat een aanvaller op afstand misbruik van het lek kan maken en er geen inloggegevens zijn vereist verzoekt Fortinet om de beschikbaar gemaakte beveiligingsupdates meteen te installeren. Fortinet heeft nog niet veel details over de kwetsbaarheid vrijgegeven. Zo wordt het CVE-nummer genoemd in de release notes van FortiOS 7.2.2, maar zonder verdere informatie (pdf). Lezers van Reddit ontdekten de kwetsbaarheid in het overzicht. Voor gebruikers met een FortiCloud-account is er wel een bulletin gepubliceerd met meer details. De kwetsbaarheid is aanwezig in FortiOS van 7.0.0 tot en met 7.0.6 en van 7.2.0 tot en met 7.2.1. FortiProxy versies 7.0.0 tot en met 7.0.6 en 7.2.0 zijn ook kwetsbaar. Gebruikers van FortiGate kunnen upgraden naar FortiOS versie 7.0.7 of 7.2.2. Voor FortiProxy zijn versies 7.0.7 en 7.2.1 beschikbaar.

Fortios V 7 2 2 Release Notes
PDF – 5,7 MB 218 downloads

VS publiceert overzicht van Top 20 aangevallen kwetsbaarheden door "Chinese actoren"

De Amerikaanse overheid heeft een overzicht gepubliceerd van twintig kwetsbaarheden die sinds 2020 door "Chinese statelijke actoren" zouden zijn gebruikt bij aanvallen tegen de netwerken van Amerikaanse organisaties en bondgenoten. De lijst is afkomstig van de Amerikaanse geheime dienst NSA, FBI en het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security. Volgens de Amerikaanse overheidsinstanties zijn de kwetsbaarheden gebruikt voor het stelen van intellectueel eigendom bij onder andere software- en hardwarebedrijven en het verkrijgen van toegang tot gevoelige netwerken. Daarbij claimen de NSA, FBI en het CISA dat door de Chinese overheid gesteunde "cyberactoren" achter deze aanvallen zitten. Overheden, de vitale infrastructuur en private sector worden opgeroepen om de twintig kwetsbaarheden zo snel als mogelijk te patchen, mocht dat nog niet zijn gedaan. De twintig beveiligingslekken bevinden zich onder andere in Apache Log4j, Pulse Connect Secure, Microsoft Exchange Server, F5 Big-IP, Apache HTTP Server, Hikvision Webserver, Citrix ADC, Cisco Hyperflex en VMware vCenter Server. Naast het installeren van de beschikbare beveiligingsupdates wordt ook aangeraden om multifactorauthenticatie toe te passen en van sterke wachtwoorden gebruik te maken, ongebruikte of overbodige protocollen op de 'network edge' te blokkeren, end-of-life apparaten te upgraden of vervangen, een Zero Trust-beveiligingsmodel toe te passen en robuuste logging voor vanaf internet toegankelijke systemen in te stellen en de logs ook op bijzonderheden te monitoren.

Top CV Es Most Used By Chinese State Sponsored Cyber Actors Since 2020
Afbeelding – 290,7 KB 202 downloads

Top CVE's die sinds 2020 het meest worden gebruikt door Chinese door de staat gesponsorde cyberactoren


Androidtelefoons met Qualcomm-chip kwetsbaar voor wifi-aanvallen

Androidtelefoons met een Qualcomm-chipset zijn kwetsbaar voor verschillende wifi-aanvallen waardoor een aanvaller op afstand code op het toestel kan uitvoeren. Google heeft tijdens de maandelijkse patchcyclus updates uitgebracht om de problemen te verhelpen. De updates zijn beschikbaar voor Android 10, 11, 12, 12L en 13. Deze maand heeft Google met de maandelijkse Android-update in totaal 42 kwetsbaarheden verholpen, waarvan er vier als kritiek zijn aangemerkt. Naast beveiligingslekken in de eigen Androidcode gaat het ook om kwetsbaarheden in software van fabrikanten zoals MediaTek en Qualcomm. Onder de verholpen beveiligingslekken bevindt zich een kritieke kwetsbaarheid in het Android Framework waardoor een malafide app of aanvaller met lokale toegang zonder aanvullende permissies zijn rechten kan verhogen. Lokale "escalation of privilege" kwetsbaarheden, zoals het probleem wordt genoemd, worden zelden als kritiek bestempeld, wat aangeeft dat het om een serieus beveiligingslek gaat. De overige drie kritieke kwetsbaarheden (CVE-2022-25720, CVE-2022-25718 en CVE-2022-25748) zijn aanwezig in de wifi-host en wifi-firmware van Qualcomm. Tijdens het verbinden met een wifi-netwerk, roaming, het verwerken van de authenticatie-handshake en het verwerken van GTK-frames kan er onder andere memory corruption plaatsvinden, wat kan leiden tot een buffer overflow. Daarmee kan een aanvaller zijn eigen code op het toestel uitvoeren. De impact van CVE-2022-25720 en CVE-2022-25748 is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. CVE-2022-25718 heeft een impactscore van 9.1 gekregen. Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de oktober-updates ontvangen zullen '2022-10-01' of '2022-10-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van oktober aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 10, 11, 12, 12L en 13. Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.


Ransomware schakelt beveiligingssoftware uit via kwetsbaarheid

Onderzoekers waarschuwen voor een ransomwaregroep die een legitieme driver van elektronicafabrikant MSI gebruikt voor het uitschakelen van beveiligingssoftware op systemen. Inmiddels maken verschillende ransomwaregroepen gebruik van de "Bring Your Own Driver" techniek, zo laat antivirusbedrijf Sophos weten. Door beveiligingsmaatregelen in Windows zoals driver signature enforcement kunnen aanvallers niet zomaar hun eigen rootkit of driver op een systeem installeren om vervolgens het kernelgeheugen te kunnen lezen en aanpassen, zegt onderzoeker Andreas Klopsch. Een aanvaller heeft echter verschillende opties om deze beperking te omzeilen, zoals het stelen van certificaten voor het signeren van code of misbruik van kwetsbaarheden in bestaan, gesigneerde drivers. Geregeld worden er kwetsbaarheden in drivers aangetroffen waar aanvallers misbruik van kunnen maken. Zo werd eerder dit jaar bekend dat de criminelen achter de AvosLocker-ransomware gebruikmaken van een driver van antivirusbedrijf Avast om virusscanners en andere beveiligingssoftware op aangevallen systemen uit te schakelen. Vorige maand meldde antivirusbedrijf Trend Micro dat een anti-cheatdriver van de videogame Genshin Impact werd gebruikt om antivirussoftware uit te zetten zodat daarna ransomware kan worden uitgerold. Drivers draaien met verhoogde rechten op het systeem. Kwetsbaarheden in drivers bieden aanvallers de mogelijkheid om het kernelgeheugen te lezen of schrijven en daarin code uit te voeren, merkt Klopsch op. Recentelijk ontdekte antivirusbedrijf Sophos een aanval door de BlackByte-ransomware die van een kwetsbare MSI AfterBurner-driver gebruikmaakt om aanwezige beveiligingssoftware te neutraliseren. AfterBurner is een tool voor het overklokken van videokaarten. De driver bevat een kwetsbaarheid (CVE-2019-16098) waardoor een aanvaller die al toegang tot het systeem heeft zijn rechten kan verhogen, met verhoogde rechten code kan uitvoeren of informatie kan achterhalen. De aanvallers installeren de kwetsbare, gesigneerde driver zelf op het systeem en maken daar vervolgens misbruik van. Deze week meldde antivirusbedrijf ESET dat een dergelijke techniek tegen een Nederlands luchtvaartbedrijf was ingezet. Bij de aanval werd een kwetsbare Dell-driver gebruikt. Om misbruik van kwetsbare drivers tegen te gaan zouden systeembeheerders bekende, kwetsbare drivers kunnen blocklisten, zodat installatie wordt voorkomen, en de aanwezige drivers op het systeem up-to-date houden.


Microsoft biedt aangepaste mitigatie voor zerodaylekken in Exchange Server

Microsoft biedt organisaties en bedrijven een aangepaste mitigatie voor twee actief aangevallen zerodaylekken in Exchange Server. De vorige mitigatie bleek namelijk eenvoudig te omzeilen. Beveiligingsupdates voor de twee kwetsbaarheden zijn nog altijd niet beschikbaar. Vorige week waarschuwde Microsoft voor twee kwetsbaarheden waar aanvallers actief misbruik van maken om Exchange-servers te compromitteren en waarvoor nog altijd geen beveiligingsupdates beschikbaar zijn. De aanvallen zouden voor zover bekend al sinds augustus plaatsvinden. Microsoft kwam echter met tijdelijke mitigerende maatregelen, waaronder een URL-rewrite om bepaalde patronen in requests te detecteren en blokkeren. Hierdoor zouden de nu waargenomen aanvallen niet meer moeten werken. De URL-rewrite van Microsoft bleek echter eenvoudig te omzeilen, zo ontdekte een beveiligingsonderzoeker genaamd Jang. Slechts het aanpassen van één karakter was voldoende. Microsoft heeft de betreffende strings die onderdeel van de URL-rewrite zijn nu aangepast, waardoor misbruik weer moet worden voorkomen. Voor organisaties die gebruikmaken van de Exchange Emergency Mitigation Service (EEMS) wordt de nieuwe URL-rewrite automatisch geïnstalleerd. In het geval van een actief aangevallen kwetsbaarheid kan via EEMS automatisch een mitigatie worden geïnstalleerd die de server tegen aanvallen moet beschermen. De Exchange Emergency Mitigation controleert elk uur of er nieuwe mitigaties beschikbaar zijn. Microsoft benadrukt dat Exchange Emergency Mitigation bedoeld is als tijdelijke maatregel voor klanten totdat zij een beveiligingsupdate hebben kunnen installeren die de aangevallen kwetsbaarheid in kwestie verhelpt. EEMS is dan ook geen vervanging voor het installeren patches, aldus Microsoft. Wanneer de beveiligingsupdate voor de twee kwetsbaarheden verschijnt is nog altijd onbekend. Volgende week dinsdag 11 oktober is de vaste patchdinsdag van Microsoft.


Microsoft adviseert uitschakelen remote PowerShell op Exchange-servers

Microsoft roept organisaties en bedrijven op om remote PowerShell op hun Exchange-servers uit te schakelen. Aanleiding is de aanwezigheid van twee zerodaylekken waar aanvallers op dit moment actief misbruik van maken voor het aanvallen van Exchange-servers. In Nederland zouden bijna achtduizend Exchange-servers risico lopen. De eerste kwetsbaarheid (CVE-2022-41040) is een Server-Side Request Forgery (SSRF) kwetsbaarheid. Hiermee kan een aanvaller de functionaliteit van een server misbruiken om toegang tot resources te krijgen waar hij anders geen directe toegang toe zou hebben. De tweede kwetsbaarheid (CVE-2022-41082) maakte remote code execution (RCE) mogelijk wanneer PowerShell voor de aanvaller toegankelijk is. Microsoft kwam vorige week al met een waarschuwing voor de zerodaylekken, die volgens het techbedrijf sinds augustus bij gerichte aanvallen "tot tien organisaties" zijn waargenomen. Via de kwetsbaarheden installeren de aanvallers een webshell waarmee ze toegang tot de server behouden en stelen allerlei informatie. Nu details over de kwetsbaarheden openbaar zijn geworden zal het aantal aanvallen naar verwachting toenemen. Een beveiligingsupdate is echter nog niet beschikbaar. Wel heeft Microsoft mitigerende maatregelen aangeraden, waaronder het instellen van Rewrite-url's op de Exchange-server, waardoor de huidige aanvallen niet meer werken. Gisteren kwam Microsoft met een nieuw advies en roept organisaties nu op om remote PowerShell uit te schakelen voor gebruikers die geen beheerder zijn. Via remote PowerShell kan op afstand verbinding met de Exchange-server worden gemaakt. Daarnaast heeft Microsoft meer informatie gegeven waarmee organisaties kunnen controleren of hun Exchange-servers zijn aangevallen. De kwetsbaarheden zijn aanwezig in Exchange Server 2013, 2016 en 2019. Volgens securitybedrijf Censys zijn er wereldwijd zo'n 188.000 Exchange-servers vanaf het internet toegankelijk. Daarvan bevinden zich er 7600 in Nederland, aldus het Microsoft Outlook Dashboard van het securitybedrijf.


Diabetici gewaarschuwd voor gevaarlijk beveiligingslek in insulinepomp Medtronic

Fabrikant van medische apparatuur Medtronic heeft diabetici gewaarschuwd voor een gevaarlijke kwetsbaarheid in verschillende insulinepompen, waardoor een aanvaller op afstand de dosering van toegediende insuline kan aanpassen, wat in het ergste geval kan leiden tot het overlijden van de patiënt. Het probleem is aanwezig in de 600-serie van de MiniMed-insulinepompen. Deze pompen bestaan uit verschillende onderdelen die draadloos met elkaar communiceren. Medtronic ontdekte zelf een kwetsbaarheid in het communicatieprotocol waardoor het mogelijk is voor een aanvaller in de buurt van het slachtoffer om de communicatie tussen deze onderdelen te compromitteren en zo de patiënt teveel of te weinig insuline toe te dienen, wat ernstige medische gevolgen kan hebben. Exacte details over het probleem zijn niet vrijgegeven. Voor het uitvoeren van de aanval zou een aanvaller wel toegang tot de insulinepomp moeten hebben wanneer die met andere onderdelen wordt gepaird. Medtronic is naar eigen zeggen niet bekend met misbruik van het probleem, maar waarschuwt voor de gevolgen. De fabrikant vindt de kwetsbaarheid zo ernstig dat patiënten wordt aangeraden om de remote bolus feature, voor het op afstand toedienen van extra insuline, uit te schakelen. Daarnaast moeten patiënten de onderdelen van het systeem niet in een openbare locatie pairen. Ook de Amerikaanse toezichthouder FDA heeft inmiddels een waarschuwing afgegeven.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers