Kwetsbaarheden CVE's
Kwetsbaarheden nieuws
⚠️ Ernstige Kwetsbaarheid in Google-Cookies: Gevaar voor Cyberveiligheid
Alon Gal, medeoprichter en CTO van Hudson Rock, heeft in een LinkedIn-bericht een ernstige kwetsbaarheid in Google-cookies aan de kaak gesteld. Deze cookies, die zelfs na het wijzigen van het accountwachtwoord niet verlopen, bieden cybercriminelen een aanzienlijk voordeel. Ondanks dat Gal Google meer dan een maand geleden waarschuwde, blijft de techgigant inactief in het aanpakken van dit probleem.Gal onthulde dat de Lumma-groep, een bekende cybercriminele organisatie, plannen heeft om deze onherroepelijke cookies te gebruiken. Hij benadrukt dat Google zich bewust is van deze kwetsbaarheid, maar vermoedt dat ze het niet aanpakken vanwege de afweging tussen gebruikersgemak en veiligheid. Bovendien deelde een onafhankelijke ontwikkelaar met Gal dat ze deze kwetsbaarheid al in oktober hadden ontdekt en verkochten. Dit probleem is bijzonder zorgwekkend omdat maandelijks honderdduizenden Infostealer-infecties plaatsvinden die Google-cookies van computers halen. Met de nieuwe methode kunnen deze cookies effectief worden gebruikt voor sessiekaping. Discussies op LinkedIn onderstrepen de ernst van de situatie, waarbij beveiligingsexperts hun zorgen uiten over het gebrek aan actie van Google en mogelijke mitigaties voor gebruikers. De situatie laat zien hoe cybercriminelen voortdurend nieuwe methoden ontwikkelen om beveiligingsmaatregelen te omzeilen, en benadrukt de noodzaak voor techbedrijven om proactief kwetsbaarheden aan te pakken. Dit incident onderstreept het belang van voortdurende waakzaamheid en samenwerking binnen de cybersecuritygemeenschap om dergelijke bedreigingen te identificeren en aan te pakken. [1, 2]
Google Cloud Pakt Beveiligingslek in Kubernetes Service aan
Google Cloud heeft een beveiligingsprobleem van gemiddelde ernst aangepakt in zijn Kubernetes Service, wat een risico vormde voor privilege escalatie. Dit probleem werd geïdentificeerd en gerapporteerd door Palo Alto Networks Unit 42. De kwetsbaarheid kon misbruikt worden door een aanvaller met toegang tot een Kubernetes cluster, waardoor deze meer privileges kon verkrijgen. Het specifieke probleem was gelokaliseerd in de Fluent Bit logging container. Wanneer deze container gecompromitteerd werd, kon de aanvaller in combinatie met de hoge privileges van de Anthos Service Mesh (indien ingeschakeld in de cluster) zijn privileges verder opschalen. Dit hield risico's in zoals datadiefstal, het implementeren van kwaadaardige pods en verstoring van de werking van de cluster. Er zijn geen aanwijzingen dat het lek daadwerkelijk is uitgebuit. Google heeft het probleem opgelost in verschillende versies van Google Kubernetes Engine (GKE) en Anthos Service Mesh (ASM). Het betreft de versies 1.25.16-gke.1020000, 1.26.10-gke.1235000, 1.27.7-gke.1293000, 1.28.4-gke.1083000, 1.17.8-asm.8, 1.18.6-asm.2 en 1.19.5-asm.4. Een belangrijke voorwaarde voor het succesvol misbruiken van deze kwetsbaarheid was dat de aanvaller al een FluentBit container moest hebben gecompromitteerd. Google legde uit dat Fluent Bit gebruikt wordt om logs te verwerken voor workloads die op clusters draaien. Echter, de manier waarop Fluent Bit logs verzamelde voor Cloud Run workloads, gaf het toegang tot Kubernetes service account tokens voor andere Pods die op de node draaiden. Google heeft als oplossing de toegang van Fluent Bit tot de service account tokens verwijderd en de functionaliteit van ASM herontworpen om overmatige role-based access control (RBAC) permissies te verwijderen. Beveiligingsexpert Shaul Ben Hai benadrukte het risico van system pods die automatisch worden gecreëerd door cloudproviders, aangezien deze vaak met verhoogde privileges draaien. [1]
Barracuda Pakt Zero-Day Kwetsbaarheid Aan na Exploitatie door Chinese Hackers
Op 21 december patchte Barracuda actieve Email Security Gateway (ESG) apparaten tegen een zero-day bug, uitgebuit door de Chinese hacker groep UNC4841. Deze kwetsbaarheid, bekend als CVE-2023-7102, lag in de Spreadsheet::ParseExcel bibliotheek van de Amavis virus scanner in de ESG apparaten. Aanvallers konden hierdoor willekeurige code uitvoeren. Een tweede golf van beveiligingsupdates volgde voor reeds gecompromitteerde apparaten, waarbij malware zoals SeaSpy en Saltwater werd gebruikt. Barracuda werkt samen met Mandiant en stelt dat deze aanvallen onderdeel zijn van spionage-activiteiten van UNC4841. In mei werd een andere zero-day (CVE-2023-2868) door dezelfde groep gebruikt. Barracuda benadrukt dat klanten momenteel geen actie hoeven te ondernemen, terwijl het onderzoek voortduurt. [1]
VS Introduceert Minimale Veilige Configuraties voor Microsoft 365
De Amerikaanse overheid, onder leiding van het Cybersecurity and Infrastructure Security Agency (CISA) van het ministerie van Homeland Security, heeft recentelijk 'Secure Configuration Baselines' voor Microsoft 365 gepubliceerd. Deze baselines zijn bedoeld om een minimale veilige configuratie voor Microsoft 365-omgevingen te garanderen. Ze omvatten essentiële instellingen voor verschillende onderdelen van Microsoft 365, zoals Defender voor Office 365, Azure Active Directory, Exchange Online, SharePoint, OneDrive voor Business, Power BI, Power Platform en Teams. Voor Exchange Online bijvoorbeeld, zijn de richtlijnen gericht op het uitschakelen van automatisch doorsturen naar externe domeinen en omvatten ze maatregelen zoals het gebruik van Sender Policy Framework (SPF), het filteren van e-mailbijlagen en IP allow lists. Deze baselines zijn bedoeld om organisaties te helpen hun Microsoft 365-omgevingen veiliger te maken en te beschermen tegen cyberdreigingen. Om organisaties te ondersteunen bij het verifiëren van hun naleving van deze baselines, heeft het CISA de SCuBAGear-tool ontwikkeld. Deze gratis tool stelt organisaties in staat om automatisch te controleren of hun Microsoft 365-omgevingen voldoen aan de gestelde veiligheidsnormen. Deze nieuwe baselines voor Microsoft 365 werden oorspronkelijk vorig jaar voor beoordeling aan het publiek voorgelegd en zijn nu definitief vastgesteld. Naast de Microsoft 365 baselines heeft het CISA ook een consultatieronde geopend voor Google Workspace Secure Configuration Baselines, waarop tot 12 januari gereageerd kan worden. Deze ontwikkeling onderstreept het belang van cybersecurity en de actieve rol van de overheid bij het bevorderen van veilige digitale omgevingen. Het initiatief van de Amerikaanse overheid toont aan dat cybersecurity een gedeelde verantwoordelijkheid is, waarbij zowel overheden als technologiebedrijven een rol spelen. [1, 2, 3]
OpenAI's Onvolledige Oplossing voor Datalek in ChatGPT
OpenAI heeft een kwetsbaarheid in ChatGPT aangepakt, die mogelijk gespreksgegevens kon lekken naar externe URL's. De beveiligingsonderzoeker Johann Rehberger ontdekte deze kwetsbaarheid en rapporteerde deze in april 2023 aan OpenAI. Hij demonstreerde later een methode om kwaadaardige GPT's te creëren die de fout benutten om gebruikers te phishen. OpenAI's respons omvatte client-side checks via een validatie-API om het renderen van afbeeldingen van onveilige URL's te voorkomen. Echter, deze oplossing is niet volledig effectief en de iOS-app van ChatGPT heeft nog geen dergelijke checks. Dit laat beveiligingsrisico's open op het iOS-platform en mogelijk ook op Android, waarbij ChatGPT nog steeds verzoeken naar willekeurige domeinen kan verwerken. [1, 2]
⚠️ Google Repareert Achtste Chrome Zero-Day Kwetsbaarheid van het Jaar
Google heeft een noodupdate uitgebracht voor Chrome om een ernstige zero-day kwetsbaarheid, bekend als CVE-2023-7024, te verhelpen. Dit is de achtste dergelijke kwetsbaarheid die Google dit jaar heeft gepatcht. Deze specifieke kwetsbaarheid werd benut in daadwerkelijke aanvallen en werd ontdekt door Clément Lecigne en Vlad Stolyarov van Google's Threat Analysis Group (TAG). TAG focust zich voornamelijk op het beschermen van Google-gebruikers tegen aanvallen door staatsgesponsorde actoren. De kwetsbaarheid bevindt zich in de WebRTC framework, een open-source software gebruikt door meerdere webbrowsers, waaronder Mozilla Firefox, Safari, en Microsoft Edge, om Real-Time Communications (RTC) mogelijkheden te bieden. Het probleem betreft een heap buffer overflow, wat een hoge ernst heeft. Hoewel Google heeft bevestigd dat de kwetsbaarheid actief werd misbruikt, zijn er nog geen gedetailleerde informatie over de incidenten vrijgegeven. Google heeft de patch uitgerold naar gebruikers op het Stable Desktop-kanaal, inclusief updates voor Windows, Mac, en Linux gebruikers. Hoewel het enige tijd kan duren voordat alle gebruikers de update ontvangen, was deze direct beschikbaar bij het controleren van updates. Gebruikers kunnen ervoor kiezen om handmatig te updaten of hun browser automatisch te laten controleren en installeren bij de volgende start. Google heeft eerder dit jaar al zeven andere zero-day kwetsbaarheden gepatcht. Sommige van deze kwetsbaarheden, zoals CVE-2023-4762, werden geïdentificeerd als zero-day bugs die gebruikt werden om spyware te implementeren, weken nadat Google patches uitbracht. Google's aanpak om bepaalde bugdetails en links beperkt te houden tot na de update, is bedoeld om te voorkomen dat dreigingsactoren eigen exploits ontwikkelen met gebruik van nieuw vrijgegeven technische informatie. [1, 2, 3]
Ivanti Pakt Kritieke Beveiligingslekken in Avalanche MDM Aan
Ivanti, een bedrijf gespecialiseerd in IT-beveiliging en -beheer, heeft onlangs belangrijke beveiligingsupdates uitgebracht voor hun Avalanche enterprise mobile device management (MDM) oplossing. Deze updates richten zich op het verhelpen van dertien kritieke beveiligingskwetsbaarheden. Avalanche wordt gebruikt voor het beheer van meer dan 100.000 mobiele apparaten. Het stelt beheerders in staat om vanaf één centrale locatie software uit te rollen en updates te plannen. De ontdekte beveiligingsproblemen, gerapporteerd door onderzoekers van Tenable en Trend Micro's Zero Day Initiative, betreffen voornamelijk bufferoverloopzwakheden in de WLAvalancheService stack of heap. Deze kwetsbaarheden kunnen door ongeauthenticeerde aanvallers worden uitgebuit zonder dat er interactie van de gebruiker nodig is, wat kan leiden tot uitvoering van externe code op ongepatchte systemen. Ivanti benadrukt de ernst van deze kwetsbaarheden en adviseert gebruikers om te updaten naar de nieuwste versie van Avalanche, 6.4.2. Alle ondersteunde versies vanaf 6.3.1 worden beïnvloed, en ook oudere versies lopen risico. Naast deze dertien kritieke lekken, heeft het bedrijf ook acht middelmatige tot ernstige bugs gepatcht die misbruikt konden worden voor denial of service, externe code-uitvoering, en server-side request forgery aanvallen. Deze updates volgen op eerdere correcties door Ivanti voor vergelijkbare problemen in hun software. Eerder dit jaar werden twee andere kritieke bufferoverloopkwetsbaarheden in Avalanche verholpen, die konden leiden tot systeemcrashes en willekeurige code-uitvoering. Daarnaast werden in dezelfde periode netwerken van Noorse overheidsorganisaties geïnfiltreerd door staatsondersteunde hackers via andere zero-day gebreken in Ivanti's Endpoint Manager Mobile. CISA, het Amerikaanse Cybersecurity and Infrastructure Security Agency, heeft gewaarschuwd voor het toenemende risico van MDM-systemen als doelwit voor cyberaanvallen, gezien hun toegang tot duizenden mobiele apparaten en eerdere exploitatie van MobileIron-kwetsbaarheden door APT-actoren (Advanced Persistent Threats). [1, 2]
Kritieke Kwetsbaarheden Ontdekt in Perforce Helix Core Server
In de Perforce Helix Core Server, een populair platform voor broncodebeheer gebruikt in de gaming-, overheid-, militaire en technologie sectoren, zijn vier kwetsbaarheden ontdekt. Microsoft-analisten identificeerden deze kwetsbaarheden tijdens een veiligheidsbeoordeling van het product, dat door de game-ontwikkelingsstudio's van het bedrijf wordt gebruikt. Ze rapporteerden dit verantwoordelijk aan Perforce eind augustus 2023. Hoewel er geen exploitatiepogingen van deze kwetsbaarheden in het wild zijn waargenomen, wordt gebruikers geadviseerd om te upgraden naar versie 2023.1/2513900, uitgebracht op 7 november 2023, om het risico te beperken. De ernstigste van deze kwetsbaarheden, aangeduid als CVE-2023-45849, maakt het voor ongeauthenticeerde aanvallers mogelijk om als LocalSystem, een account met hoge privileges binnen het Windows OS, willekeurige code uit te voeren. Dit kan leiden tot installatie van achterdeuren, toegang tot gevoelige informatie, aanpassing van systeeminstellingen en potentiële volledige controle over het systeem met een kwetsbare versie van de Perforce Server. De overige drie kwetsbaarheden zijn minder ernstig, maar kunnen nog steeds leiden tot denial of service-aanvallen, wat operationele onderbrekingen kan veroorzaken met aanzienlijke financiële verliezen tot gevolg in grootschalige implementaties. Ter bescherming adviseert Microsoft regelmatige updates van software van derden, beperkte toegang via VPN of IP-toelatingslijsten, gebruik van TLS-certificaten met een proxy voor gebruikersvalidatie, logging van alle toegang tot de Perforce Server, instelling van crashwaarschuwingen voor IT- en beveiligingsteams, en het gebruik van netwerksegmentatie om inbreuken te beperken. [1, 2]
SMTP-protocol Kwetsbaarheid Maakt E-mail Spoofing en Phishingaanvallen Mogelijk
Een recente ontdekking door het securitybedrijf SEC Consult heeft aan het licht gebracht dat er een significante kwetsbaarheid in het SMTP-protocol bestaat. Deze kwetsbaarheid maakt het mogelijk om gespoofte e-mails vanuit verschillende domeinen te versturen, wat een groot risico vormt voor phishingaanvallen. Het Simple Mail Transfer Protocol (SMTP), dat sinds 1980 in gebruik is, is een standaardprotocol voor het versturen van e-mails. De kwetsbaarheid, benoemd als 'SMTP smuggling', exploiteert de interpretatieverschillen in SMTP-servers over waar de data van een e-mailbericht eindigt. Dit laat aanvallers toe om via de berichtdata, die verkeerd geïnterpreteerd wordt door een kwetsbare server, SMTP-commando's uit te voeren en zelfs aparte e-mails te versturen. Onder de getroffen partijen waren e-mailprovider GMX en Exchange Online, waarbij het mogelijk was om gespoofte e-mails vanaf miljoenen domeinen naar evenveel ontvangende SMTP-servers te sturen. Zowel GMX als Microsoft hebben actie ondernomen om deze kwetsbaarheid te verhelpen. Het probleem is ook geconstateerd bij de Cisco Secure Email Gateway en de cloud-gebaseerde Cisco Secure Email Cloud Gateway. Deze systemen zijn nog steeds kwetsbaar, en SEC Consult adviseert gebruikers van Cisco's mailproducten om hun standaardconfiguraties aan te passen. SEC Consult heeft een analysetool ontwikkeld om organisaties te helpen bepalen of ze kwetsbaar zijn, maar zal deze tool pas later openbaar maken. In reacties op het nieuws wordt de noodzaak van een bijgewerkte versie van SMTP, inclusief standaardbeveiligingen zoals TLS en ingebouwde functies als SPF, DKIM en DMARC, benadrukt. Er wordt ook gewezen op de inherente beperkingen van het SMTP-protocol, dat oorspronkelijk niet ontworpen was met beveiliging of vertrouwelijkheid als prioriteit. [1]
3CX Adviseert Klanten om SQL Database Integraties Uit te Schakelen wegens Kwetsbaarheid
VoIP communicatiebedrijf 3CX heeft zijn klanten dringend geadviseerd om SQL database integraties uit te schakelen vanwege potentiële risico's die samenhangen met een mogelijke kwetsbaarheid. Dit advies is gegeven ondanks dat er geen specifieke details over het probleem zijn vrijgegeven. Klanten worden geadviseerd preventieve maatregelen te nemen door hun MongoDB, MsSQL, MySQL en PostgreSQL database-integraties uit te schakelen. Pierre Jourdan, de Chief Information Security Officer van 3CX, gaf aan dat deze maatregel noodzakelijk is terwijl er gewerkt wordt aan een oplossing. Hij benadrukte dat de kwetsbaarheid alleen invloed heeft op versies 18 en 20 van 3CX's VoIP software, en dat niet alle webgebaseerde CRM-integraties getroffen zijn. Eerder dit jaar kwam 3CX in het nieuws toen bleek dat de 3CXDesktopApp desktopclient betrokken was bij een supply chain aanval door een Noord-Koreaanse hackersgroep, waarbij malware werd verspreid. Deze aanval kwam aan het licht na meldingen van klanten en de detectie door meerdere cybersecuritybedrijven. Ondanks dat 3CX beweert dat slechts 0,25% van haar gebruikersbasis SQL-integraties gebruikt, kan dit nog steeds een aanzienlijk aantal klanten betreffen, gezien het wereldwijde gebruik van hun producten. Recentelijk werd duidelijk dat de kwetsbaarheid betrekking heeft op een SQL-injectie in de CRM-integratie met SQL-databases. Het beveiligingslek werd ontdekt door een onderzoeker die moeite had om dit te melden bij 3CX, ondanks pogingen die al meer dan twee maanden aan de gang waren. Uiteindelijk erkende de Operations Director van 3CX het probleem. 3CX heeft zijn klanten gewaarschuwd om SQL/CRM-integraties uit te schakelen om aanvallen via dit lek te voorkomen, maar heeft bewust geen verdere details vrijgegeven die kwaadwillenden zouden kunnen helpen bij misbruik. De informatie over de aard van de kwetsbaarheid is beperkt gehouden om klanten meer tijd te geven hun systemen te beveiligen. [1]
Microsoft's Beveiligingstool Blijkt Kwetsbaarheid voor Hackers
Een softwaretool van Microsoft, bedoeld om bedrijven te beschermen tegen phishing, bleek bijna een jaar lang een potentieel gevaar voor gebruikers te zijn. Het Nederlandse bedrijf Eye Security ontdekte een lek in de 'Attack Simulator' van Microsoft 365, waarbij gebruikers juist werden blootgesteld aan aanvallen. De tool, die bedoeld is voor het testen van phishingaanvallen, bood ironisch genoeg een manier voor kwaadwillenden om mailboxen van personeel te infiltreren. Het lek werd aan het licht gebracht door Vaisha Bernard van Eye Security. Tijdens een test met de tool, ontving Bernard onverwachts e-mails van gebruikers die in de phishingval waren getrapt. Deze ontdekking onthulde dat de tool kwetsbaar was: het stuurde phishingmails vanuit ongeclaimde domeinnamen, waardoor aanvallers deze konden registreren en misbruiken. Bernard rapporteerde de kwetsbaarheid aan Microsoft, die in eerste instantie slechts gedeeltelijke maatregelen nam. Hoewel hij meerdere keren werd beloond met een geldbedrag, bleef het probleem bestaan. Pas eind november werd het lek volledig gedicht. De impact van dit beveiligingslek kan aanzienlijk zijn, gezien Microsoft Exchange wereldwijd meer dan zeven miljard inboxen ondersteunt. Microsoft gaf aan de problemen te hebben aangepakt met updates en benadrukte het belang van klantveiligheid, maar de exacte impact van het lek is onbekend. Deze situatie benadrukt het belang van voortdurende veiligheidstests en de noodzaak van meerdere beveiligingslagen. Preventie alleen is niet voldoende; bedrijven moeten ook voorbereid zijn op snelle respons bij beveiligingsincidenten. [1, 2]
Veiligheidsincident bij Ubiquiti: Ongeautoriseerde Toegang tot UniFi Apparaten van Andere Gebruikers
Gebruikers van Ubiquiti netwerkapparaten, zoals routers en beveiligingscamera's, rapporteren sinds gisteren een ernstig veiligheidsincident. Ze hebben toegang tot apparaten en meldingen van andere gebruikers via de UniFi cloudservices van het bedrijf. Ubiquiti, bekend om zijn cloudgebaseerde UniFi-platform, maakt het mogelijk voor beheerders om al hun apparaten te beheren vanuit één cloudportaal. Het eerste incident werd gemeld toen een klant een melding ontving van UniFi Protect, die een afbeelding bevatte van de beveiligingscamera van een ander. Deze situatie leidde tot verwarring en bezorgdheid onder de gebruikers. Het incident escaleerde toen een andere gebruiker bij het inloggen op de UniFi Site Manager, 88 apparaten van een ander account kon zien en beheren. Deze toegang tot andere accounts werd onbedoeld verleend en stopte pas na het vernieuwen van de browserpagina. In vergelijkbare gevallen meldden gebruikers dat zij toegang hadden tot apparaten zoals UDM Pro van anderen en zelfs in staat waren om extra WiFi-netwerken aan te maken. Na het vernieuwen van de pagina werden hun eigen apparaten weer correct weergegeven. Ubiquiti is op de hoogte gebracht van deze problemen en heeft aangegeven informatie te verzamelen om de oorzaak te achterhalen. Het bedrijf is begonnen met het verzamelen van gegevens en het bereiken van getroffen klanten voor meer details. Ubiquiti heeft later bevestigd dat het incident veroorzaakt werd door een configuratiefout tijdens een upgrade van de UniFi cloudinfrastructuur. Door deze fout werden 1.216 accounts van "Groep 1" onterecht gekoppeld aan 1.177 accounts van "Groep 2", waardoor de laatstgenoemde groep toegang kreeg tot meldingen en apparaten van de eerste groep. Dit incident vond plaats op 13 december en is sindsdien opgelost. Ubiquiti onderzoekt nog steeds het incident, maar gelooft dat slechts twaalf accounts onrechtmatig zijn benaderd. Getroffen accounthouders zullen per e-mail op de hoogte worden gesteld. [1, 2, 3]
Exchange-beheerders kunnen blokkade kwetsbare servers tijdelijk pauzeren
Microsoft heeft maatregelen genomen tegen kwetsbare Exchange-servers door het blokkeren van e-mails verzonden naar Exchange Online. Dit betreft vooral oudere versies zoals Exchange Server 2007, 2010 en 2013, die geen updates meer ontvangen. Ondersteunde versies, zoals Exchange 2016 en 2019, moeten up-to-date zijn met bepaalde updates. Sinds oktober worden e-mails vanuit oudere, kwetsbare servers geblokkeerd, en dit proces zal zich uitbreiden naar nieuwere versies in 2024. Beheerders van deze servers krijgen eerst waarschuwingen en daarna 30 dagen om actie te ondernemen. Zonder actie zal Exchange Online beginnen met het beperken van de verbindingen, wat geleidelijk toeneemt tot volledige blokkering. Nu biedt Microsoftbeheerders de mogelijkheid om het proces van beperken en blokkeren tot 90 dagen per jaar te pauzeren, waardoor er meer tijd is voor het nemen van noodzakelijke maatregelen. Deze flexibele benadering is bedoeld om beheerders de kans te geven hun systemen bij te werken en de veiligheid te waarborgen, zonder directe onderbreking van de e-maildienst. [1, 2]
Waarschuwing voor Ernstige Kwetsbaarheid in Apache Struts door VS en Cisco
De Amerikaanse overheid en Cisco hebben een ernstige waarschuwing uitgegeven over een kwetsbaarheid in Apache Struts, een populair opensourceframework voor Java-webapplicaties. Deze kwetsbaarheid, geïdentificeerd als CVE-2023-50164, stelt aanvallers in staat om parameters voor het uploaden van bestanden te wijzigen. Dit kan leiden tot path traversal en de mogelijkheid om kwaadaardige bestanden te uploaden, wat uiteindelijk kan resulteren in remote code execution. Een recente update om dit beveiligingslek te dichten is uitgebracht, en ontwikkelaars zijn opgeroepen deze zo snel mogelijk te installeren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft dezelfde oproep gedaan. Cisco heeft aangekondigd een onderzoek te starten naar de mogelijke impact van deze kwetsbaarheid op tientallen van hun producten die mogelijk Apache Struts gebruiken. De ernst van de situatie wordt benadrukt door een soortgelijke kwetsbaarheid in 2017, die leidde tot de diefstal van gegevens van meer dan 147 miljoen Amerikanen bij het kredietbureau Equifax. Deze waarschuwingen onderstrepen het belang van snelle actie en bewustwording onder ontwikkelaars en gebruikers van Apache Struts. [1, 2, 3]
Kritieke Windows-kwetsbaarheid Maakt Systemen Overneembaar via Malafide E-mail
Een recent ontdekte kritieke kwetsbaarheid in Windows, genaamd CVE-2023-35628, stelt aanvallers in staat om controle over systemen te verkrijgen door enkel het versturen van een malafide e-mail. Deze kwetsbaarheid is geïdentificeerd in het MSHTML-platform van Windows, een browser-engine ontwikkeld door Microsoft en gebruikt in Internet Explorer en Office-applicaties voor het weergeven van webinhoud in documenten. Opmerkelijk is dat de kwetsbaarheid kan worden uitgebuit zonder enige interactie van de gebruiker. Het enkele ontvangen en verwerken van de e-mail door de Microsoft Outlook-client maakt remote code execution al mogelijk. De ernst van deze kwetsbaarheid wordt verder benadrukt door de angst van securitybedrijf ZDI dat ransomwaregroepen zullen proberen om deze kwetsbaarheid te misbruiken. Hoewel het misbruiken van deze kwetsbaarheid enkele geavanceerde 'memory-shaping' technieken vereist, wat de ontwikkeling van een betrouwbare exploit bemoeilijkt, blijft het risico significant. Microsoft heeft de impact van deze kwetsbaarheid beoordeeld met een 8.1 op een schaal van 1 tot 10, wat duidt op een hoge ernst. Deze kwetsbaarheid kan ook worden misbruikt door gebruikers op een kwaadaardige link te laten klikken. Het feit dat de aanval automatisch kan plaatsvinden zonder enige zichtbare interactie, zoals het voorbeeldvenster van een e-mail bekijken, maakt de situatie bijzonder zorgwekkend. Beveiligingsexperts adviseren gebruikers om alert te blijven en relevante updates toe te passen om zich te beschermen tegen mogelijke exploits die voortvloeien uit deze kritieke kwetsbaarheid. [1]
Sophos Verhelpt Actief Aangevallen Kwetsbaarheid in End-of-Life Firewalls
Securitybedrijf Sophos heeft onlangs een belangrijke beveiligingsupdate uitgevoerd voor firewalls die eigenlijk niet meer worden ondersteund, ook bekend als 'end-of-life' firewalls. Deze update volgt op eerdere acties vorig jaar, waarbij Sophos een patch uitbracht voor een ernstige kwetsbaarheid, geïdentificeerd als CVE-2022-3236. Deze kwetsbaarheid stelde aanvallers in staat om willekeurige code uit te voeren op het getroffen systeem, waarbij gerichte aanvallen werden gemeld, voornamelijk in de Zuid-Aziatische regio. Recent ontdekte Sophos dat aanvallers een nieuwe exploit hadden ontwikkeld om firewalls met deze kwetsbaarheid aan te vallen, ondanks dat deze firewalls niet meer actief werden ondersteund. Vanwege de ernst van de aanvallen en de potentiële risico's voor klanten, besloot Sophos een update te ontwikkelen en uit te rollen voor deze end-of-life firewalls. De update, of patch, is succesvol geïnstalleerd bij 99 procent van de klanten die de optie 'accept hotfix' hadden ingeschakeld. Sophos benadrukt het belang van het upgraden naar ondersteunde apparaten, aangezien aanvallers actief op zoek zijn naar kwetsbare, end-of-life apparaten. De actie van Sophos om ook niet-ondersteunde apparaten te voorzien van beveiligingsupdates toont hun commitment aan het beschermen van klanten tegen geavanceerde cyberaanvallen en het versterken van de algemene cybersecurity infrastructuur. [1]
Microsoft Patch Tuesday december 2023: 34 kwetsbaarheden aangepakt, inclusief 1 zero-day
Microsoft heeft op Patch Tuesday van december 2023 beveiligingsupdates uitgebracht om in totaal 34 kwetsbaarheden aan te pakken. Onder deze updates is ook een eerder bekendgemaakte, nog niet gepatchte kwetsbaarheid in AMD-processors. Hoewel acht kwetsbaarheden voor externe code-uitvoering zijn verholpen, heeft Microsoft er slechts drie als kritiek beoordeeld. In totaal waren er vier kritieke kwetsbaarheden, waarvan één in Power Platform (Spoofing), twee in Internet Connection Sharing (RCE) en één in Windows MSHTML Platform (RCE). De kwetsbaarheden zijn onderverdeeld in verschillende categorieën, waaronder 10 Elevation of Privilege-kwetsbaarheden, 8 Remote Code Execution-kwetsbaarheden, 6 Information Disclosure-kwetsbaarheden, 5 Denial of Service-kwetsbaarheden en 5 Spoofing-kwetsbaarheden. Deze telling omvat niet de 8 kwetsbaarheden in Microsoft Edge die al op 7 december zijn gepatcht. Een bijzonder aandachtspunt is de openbaar gemaakte zero-day kwetsbaarheid met het CVE-2023-20588-nummer, die in augustus werd onthuld en betrekking heeft op bepaalde AMD-processors. Het betreft een fout in specifieke AMD-processors die mogelijk gevoelige gegevens kunnen lekken. AMD had tot nu toe geen oplossing geboden, maar als onderdeel van de updates van deze Patch Tuesday heeft Microsoft een beveiligingsupdate uitgebracht om deze bug in getroffen AMD-processors te verhelpen. Naast Microsoft hebben ook andere leveranciers updates uitgebracht in december 2023, waaronder Apple, Cisco, Google en VMware. Het is essentieel voor organisaties en individuen om deze updates te installeren om hun systemen te beschermen tegen potentiële bedreigingen. Voor een gedetailleerd overzicht van alle opgeloste kwetsbaarheden in de december 2023 Patch Tuesday-updates, kunt u de volledige rapportage raadplegen. Het is van groot belang dat alle gebruikers deze updates installeren om hun systemen te beschermen tegen potentiële bedreigingen. [1, 2]
Meer dan 1.450 pfSense-servers kwetsbaar voor RCE-aanvallen via bugketen
In een recent artikel dat op 12 december 2023 is gepubliceerd, wordt melding gemaakt van een ernstige beveiligingsdreiging voor meer dan 1.450 pfSense-instanties. PfSense is een populaire open-source firewall- en router-software die veel aanpassingsmogelijkheden biedt. Het artikel wijst op kwetsbaarheden voor commando-injectie en cross-site scripting (XSS) in pfSense, die, als ze worden gecombineerd, aanvallers in staat zouden stellen om op afstand code uit te voeren op de appliance. De kwetsbaarheden, geïdentificeerd als CVE-2023-42325 (XSS), CVE-2023-42327 (XSS) en CVE-2023-42326 (commando-injectie), werden ontdekt door onderzoekers van SonarSource met behulp van hun SonarCloud-oplossing. Deze beveiligingsproblemen treffen zowel oudere versies van pfSense als de recentere pfSense Plus 23.05.01. De commando-injectiekwetsbaarheid wordt als bijzonder ernstig beschouwd met een CVSS-score van 8.8. De kern van het probleem ligt in het feit dat shell-commando's worden geconstrueerd op basis van door de gebruiker verstrekte gegevens voor het configureren van netwerkinterfaces, zonder adequate validatie. Deze kwetsbaarheid heeft invloed op het "gifif"-netwerkinterfaceparameter, waardoor kwaadwillende actoren extra commando's in de parameter kunnen injecteren en deze kunnen uitvoeren met root-privileges. Voor een succesvolle aanval is echter toegang tot een account met bewerkingsrechten voor de interface vereist, waardoor het combineren van de verschillende kwetsbaarheden essentieel is voor een krachtige aanval. Ondanks dat Netgate, de leverancier van pfSense, beveiligingsupdates heeft uitgebracht om deze kwetsbaarheden aan te pakken, blijven bijna 1.500 pfSense-instanties een maand na de release van de patches kwetsbaar voor aanvallen. Het artikel benadrukt dat hoewel de kwetsbare endpoints slechts een klein deel vertegenwoordigen van wereldwijde pfSense-implementaties, de ernst van desituatie niet mag worden onderschat, vooral omdat grote ondernemingen vaak gebruikmaken van deze software. Een aanvaller met toegang tot een kwetsbare pfSense-server kan ernstige gegevensinbreuken veroorzaken, toegang krijgen tot gevoelige interne bronnen en zich binnen het gecompromitteerde netwerk verplaatsen. Het is van cruciaal belang dat organisaties die pfSense gebruiken, onmiddellijk actie ondernemen om hun systemen bij te werken en te beveiligen om te voorkomen dat ze het slachtoffer worden van deze dreiging. [1]
⚠️ Apple geeft noodupdates uit om recente zero-day kwetsbaarheden te verhelpen op oudere iPhones
Apple heeft noodbeveiligingsupdates uitgebracht om patches terug te zetten voor twee actief misbruikte zero-day kwetsbaarheden op oudere iPhones en sommige Apple Watch- en Apple TV-modellen. De kwetsbaarheden, geïdentificeerd als CVE-2023-42916 en CVE-2023-42917, werden ontdekt in de WebKit-browserengine, ontwikkeld door Apple en gebruikt in de Safari-webbrowser van het bedrijf op al zijn platforms, waaronder macOS, iOS en iPadOS.
Deze kwetsbaarheden stellen aanvallers in staat toegang te krijgen tot gevoelige gegevens en willekeurige code uit te voeren met kwaadaardig vervaardigde webpagina's die gebruikmaken van fouten in grenzen en geheugencorruptie op niet-gepatchte apparaten.
Apple heeft vandaag de zero-days aangepakt in iOS 16.7.3, iPadOS 16.7.3, tvOS 17.2 en watchOS 10.2, met verbeterde invoervalidatie en vergrendeling. De kwetsbaarheden zijn ook gepatcht op de volgende lijst van apparaten:
- iPhone 8 en nieuwer
- iPad Pro (alle modellen)
- iPad Air 3e generatie en nieuwer
- iPad 5e generatie en nieuwer
- iPad mini 5e generatie en nieuwer
- Apple TV HD en Apple TV 4K (alle modellen)
- Apple Watch Series 4 en nieuwer
Deze kwetsbaarheden werden ontdekt en gerapporteerd door Clément Lecigne, een beveiligingsonderzoeker van Google's Threat Analysis Group (TAG). Hoewel Apple nog geen details heeft verstrekt over het misbruik van de kwetsbaarheden in aanvallen, heeft Google TAG regelmatig informatie over zero-day kwetsbaarheden geïdentificeerd en vrijgegeven die worden gebruikt in door de staat gesponsorde surveillancesoftware-aanvallen op hooggeplaatste individuen, waaronder journalisten, oppositiefiguren en dissidenten.
Het Cybersecurity and Infrastructure Security Agency (CISA) heeft ook federale instanties opgedragen hun apparaten op 4 december te patchen op basis van bewijs van actieve exploitatie. Sinds het begin van het jaar heeft Apple 20 zero-day kwetsbaarheden verholpen die zijn misbruikt in aanvallen.
Dit onderstreept opnieuw het belang van het up-to-date houden van de beveiliging van uw apparaten om uzelf te beschermen tegen potentiële bedreigingen op het gebied van cybercriminaliteit en het darkweb. Zorg ervoor dat u deze updates zo snel mogelijk installeert om uw gegevens en privacy te beschermen. [1, 2, 3]
Kwetsbaarheid in WordPress-plugin legt 50.000 sites bloot voor RCE-aanvallen
Een kritieke kwetsbaarheid met een ernstscore van 9.8/10 in een WordPress-plugin met meer dan 90.000 installaties stelt aanvallers in staat om externe code-uitvoering te verkrijgen en kwetsbare websites volledig te compromitteren. De kwetsbaarheid is ontdekt in de "Backup Migration"-plugin, die beheerders helpt bij het automatiseren van back-ups van hun websites naar lokale opslag of een Google Drive-account. Deze bug, bekend als CVE-2023-6553, werd ontdekt door een groep bug hunters genaamd Nex Team, die deze meldden aan het beveiligingsbedrijf Wordfence onder hun bug bounty-programma. De impact van deze kwetsbaarheid strekt zich uit tot alle versies van de plugin, inclusief Backup Migration 1.3.6. Wat deze kwetsbaarheid extra zorgwekkend maakt, is dat kwaadwillige actoren deze kunnen uitbuiten zonder interactie van gebruikers. CVE-2023-6553 stelt niet-geauthenticeerde aanvallers in staat om gerichte websites over te nemen door externe code-uitvoering te verkrijgen via PHP-code-injectie in het bestand /includes/backup-heart.php. Dit komt doordat aanvallers de waarden kunnen controleren die aan een 'include' worden doorgegeven en dit kunnen gebruiken om externe code uit te voeren op de server van WordPress. Wordfence heeft de kritieke kwetsbaarheid op 6 december gemeld aan het ontwikkelingsteam van de Backup Migration-plugin. De ontwikkelaars hebben enkele uren later een patch uitgebracht in de vorm van Backup Migration 1.3.8. Ondanks deze snelle reactie blijken bijna 50.000 WordPress-websites die een kwetsbare versie gebruikten, nog steeds niet beveiligd te zijn. Beheerders wordt dringend geadviseerd om hun websites te beveiligen tegen potentiële aanvallen die gebruikmaken van CVE-2023-6553, gezien de ernst van deze kwetsbaarheid die door niet-geauthenticeerde kwaadwillende actoren op afstand kan worden uitgebuit. Bovendien zijn WordPress-beheerders momenteel het doelwit van een phishingcampagne waarbij ze worden misleid om kwaadaardige plugins te installerenop basis van fictieve WordPress-beveiligingsadviezen voor een niet-bestaande kwetsbaarheid met de naam CVE-2023-45124. Het is dus van cruciaal belang dat beheerders op hun hoede zijn voor deze risico's en ervoor zorgen dat hun websites up-to-date en beveiligd zijn tegen dergelijke aanvallen. [1, 2, 3, 4, 5]
Valve Repareert HTML Injectie Kwetsbaarheid in Counter-Strike 2 die IP-adressen van Spelers Onthulde
Valve heeft onlangs een HTML-injectiefout in Counter-Strike 2 (CS2) gerepareerd, die op grote schaal werd misbruikt om afbeeldingen in games in te voegen en andere spelers' IP-adressen te achterhalen. Hoewel aanvankelijk gedacht werd dat het om een ernstigere Cross Site Scripting (XSS) kwetsbaarheid ging, waarbij JavaScript-code kan worden uitgevoerd in een client, bleek het slechts om een HTML-injectie kwetsbaarheid te gaan, die het injecteren van afbeeldingen mogelijk maakte. Counter-Strike 2 maakt gebruik van Valve's Panorama UI, een gebruikersinterface die sterk gebruikmaakt van CSS, HTML en JavaScript voor het ontwerplayout. Als onderdeel van het ontwerplayout kunnen ontwikkelaars invoervelden configureren om HTML te accepteren in plaats van het te saneren naar een reguliere tekenreeks. Als het veld HTML toestond, werd alle ingevoerde tekst als HTML weergegeven in de uitvoer. Vandaag begonnen gebruikers van Counter-Strike te melden dat anderen misbruik maakten van een HTML-injectie fout om afbeeldingen in het kick voting paneel in te voegen. Terwijl de kwetsbaarheid voornamelijk werd misbruikt voor onschuldig plezier, gebruikten sommigen het om de IP-adressen van andere gamers in de wedstrijd te achterhalen. Dit werd gedaan door de <img> tag te gebruiken om een extern IP-logger script te openen dat het IP-adres van elke speler die de stemkick zag, registreerde. Deze IP-adressen konden kwaadwillig worden gebruikt, bijvoorbeeld om DDoS-aanvallen uit te voeren om spelers te dwingen zich van de wedstrijd los te koppelen. Vanmiddag bracht Valve een kleine update van 7 MB uit die naar verluidt de kwetsbaarheid repareert en ervoor zorgt dat ingevoerde HTML wordt gesaneerd tot een gewone tekenreeks. Na installatie van de patch wordt ingevoerde HTML niet langer weergegeven als onderdeel van de gebruikersinterface, maar als een tekenreeks. BleepingComputer heeft Valve gecontacteerd om te bevestigen of deze update het misbruik heeft opgelost, maar heeft nog geen reactie ontvangen. In 2019 werd een soortgelijke, maar ernstigere, bug gevonden in Counter-Strike: Global Offensive's Panorama UI waarmee HTML kon worden ingevoegd via de kick-functie. [1, 2]
Kritieke Bluetooth-kwetsbaarheid stelt aanvallers in staat systemen over te nemen
Een recent ontdekte kritieke Bluetooth-kwetsbaarheid, bekend als CVE-2023-45866, brengt ernstige beveiligingsrisico's met zich mee voor Android, Linux, macOS en iOS-systemen. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om zich voor te doen als een toetsenbord en op afstand controle over systemen te krijgen. Het beveiligingslek stelt een aanvaller in staat om een ongeauthenticeerde verbinding tot stand te brengen met een kwetsbaar systeem door zich voor te doen als een nep-toetsenbord. Eenmaal verbonden, kan de aanvaller op afstand verschillende commando's uitvoeren op het doelsysteem zonder enige interactie of bevestiging van de gebruiker. Google heeft al updates uitgebracht om deze kwetsbaarheid aan te pakken, maar deze zijn nog niet beschikbaar voor alle Android-apparaten. Daarom is het essentieel voor gebruikers om hun Bluetooth-apparaten te beveiligen door ze in de non-discoverable modus te zetten, inkomende pairing uit te schakelen of zelfs Bluetooth volledig uit te schakelen, zoals aanbevolen door Red Hat. Wat deze kwetsbaarheid nog zorgwekkender maakt, is dat deze geen speciale hardware vereist. Een normale Bluetooth-adapter kan worden gebruikt om de aanval uit te voeren, waardoor het voor potentiële aanvallers relatief eenvoudig is om deze exploit te gebruiken. Beveiligingsonderzoeker Marc Newlin, die het probleem ontdekte, zal binnenkort een volledige exploit en proof-of-concept-scripts vrijgeven tijdens een conferentie. Het is van vitaal belang dat gebruikers en systeembeheerders snel handelen om deze kwetsbaarheid aan te pakken en de nodige beveiligingsmaatregelen nemen om te voorkomen dat hun systemen worden gecompromitteerd. Zorg ervoor dat u de beschikbare updates installeert en de Bluetooth-instellingen van uw apparaten beheert om het risico op aanvallen te minimaliseren. [1, 2, 3]
Aanhoudende Kwetsbaarheid in Log4J-applicaties Ondanks Beschikbare Patches
Recent onderzoek wijst uit dat ongeveer 38% van de applicaties die gebruikmaken van de Apache Log4j-bibliotheek nog steeds kwetsbare versies hanteren. Dit is zorgwekkend, vooral omdat de kritieke kwetsbaarheid Log4Shell (CVE-2021-44228) al meer dan twee jaar bekend is en patches beschikbaar zijn. Log4Shell, een ernstige externe code-uitvoeringsfout, maakt volledige controle over systemen met Log4j versies 2.0-beta9 tot 2.15.0 mogelijk. Deze kwetsbaarheid werd op 10 december 2021 ontdekt en had onmiddellijke, grootschalige veiligheidsimplicaties. Ondanks intensieve campagnes om projectbeheerders en systeembeheerders te waarschuwen, blijven veel organisaties kwetsbare versies gebruiken. Een rapport van Veracode, gebaseerd op gegevens verzameld over een periode van 90 dagen van 3.866 organisaties, toont aan dat 38% van de 38.278 onderzochte applicaties die Log4j gebruiken, onveilige versies bevatten. Dit omvat direct kwetsbare versies en versies vatbaar voor andere ernstige veiligheidsrisico's. Het rapport brengt aan het licht dat veel ontwikkelaars vaak terughoudend zijn om externe bibliotheken bij te werken na hun initiële integratie, vooral om functionele problemen te voorkomen. Ondanks dat 65% van de updates van open-sourcebibliotheken kleine wijzigingen en fixes bevat, kiest 79% van de ontwikkelaars ervoor om deze niet te updaten. Daarnaast duurt het voor 50% van de projecten meer dan 65 dagen om ernstige veiligheidsproblemen aan te pakken. De bevindingen tonen aan dat Log4Shell niet de gewenste oproep tot actie is geworden in de beveiligingsindustrie. Log4j blijft een risicobron in één op de drie gevallen en kan eenvoudig één van de vele manieren zijn waarop aanvallers een doelwit kunnen compromitteren. Het advies aan bedrijven is om hun omgeving te scannen, de gebruikte versies van open-sourcebibliotheken te identificeren en een noodplan voor upgrades te ontwikkelen. [1]
⚠️ Akamai Ontdekt Kwetsbaarheid in Active Directory DNS Spoofing
Akamai Technologies Inc. heeft een potentiële cybersecuritydreiging onthuld met betrekking tot de combinatie van het Domain Name System (DNS), Active Directory en het Dynamic Host Configuration Protocol (DHCP). Deze dreiging werd gesignaleerd door de beveiligingsonderzoeker Ori David van Akamai Technologies Inc. Het probleem draait om de manier waarop Microsoft Corp. DHCP DNS Dynamic Updates heeft samengesteld. DHCP is een zeer nuttig protocol dat automatisch TCP/UIP-adressen op een netwerk configureert, zodat geen twee apparaten hetzelfde adres hebben. De dynamische updatefunctie stelt een DHCP-server in staat DNS-records te maken of te wijzigen voor elk van zijn verbonden clients. Het kernprobleem van deze dreiging schuilt in de woorden "wijzigen" en "elk", omdat deze woorden veel macht geven aan een potentiële aanvaller. Het dynamische updateproces vereist namelijk geen verdere authenticatie door de client, wat het mogelijk maakt om DNS-records te overschrijven en zo netwerkverkeer naar eigen servers te sturen. Hoewel dit probleem op het eerste gezicht misschien obscuur lijkt, kan het aanzienlijke gevolgen hebben, aangezien Microsoft DHCP-services naar schatting draait in 40% van alle netwerken die Akamai monitort, waaronder veel grote zakelijke datacenters. Het artikel gaat diep in op de constructie van de exploit en biedt gedetailleerde informatie over hoe dit voorkomen kan worden, bijvoorbeeld door het uitschakelen van DHCP DNS dynamische updates en het vermijden van het gebruik van DNS-updateproxygroepen. Het is vermeldenswaardig dat Akamai de bevindingen aan Microsoft heeft gemeld, maar dat het bedrijf niet van plan is om het probleem op te lossen. Een ander aspect van deze kwestie is de ondersteuning van verouderde Windows NTv4.0-clients, die volgens David niet meer op moderne netwerken zouden moeten worden gebruikt. Akamai verwijst naar een aangepaste PowerShell-tool waarmee potentiële risico's van DNS-misconfiguraties kunnen worden gecontroleerd. De impact van deze aanvallen kan aanzienlijk zijn, aangezien het mogelijk is om DNS-records te overschrijven zonder enige vorm van authenticatie, wat aanvallers in staat stelt een "machine-in-the-middle" positie in te nemen op hosts in het domein. Dit kan leiden tot het onderscheppen van inloggegevens en het vastleggen van gevoelig verkeer, wat de beveiliging van Active Directory-domeinen in gevaar kan brengen en aanvallers kan helpen bij het verhogen van hun privileges. [1]
Kwetsbaarheden in Mozilla VPN Risico voor Gebruikersgegevens
Recent onderzoek door securitybedrijf Cure53 heeft meerdere kwetsbaarheden in Mozilla VPN aan het licht gebracht, waaronder een kritieke die de privacy van gebruikers in gevaar kon brengen. Het onderzoeksteam identificeerde zeven zwakke punten, waarvan het lekken van het IP-adres en de WireGuard-encryptiesleutel de meest ernstige waren. De meest kritieke kwetsbaarheid betrof de Mozilla VPN-app voor iOS, waarbij de WireGuard-configuratie en encryptiesleutel op een onveilige manier in de iOS Keychain werden opgeslagen. Deze gegevens werden deel van iCloud-back-ups, die weliswaar versleuteld zijn, maar niet met end-to-end encryptie. Volgens de onderzoekers kon Apple toegang krijgen tot deze sleutels, wat betekent dat opsporingsdiensten ze potentieel konden vorderen. Een andere kwetsbaarheid met hoge impact maakte het mogelijk voor kwaadaardige browserextensies om de VPN-verbinding van de gebruiker uit te schakelen. De overige vijf beveiligingsproblemen, beoordeeld met een 'medium' impact, omvatten onder meer een probleem waardoor het IP-adres van gebruikers kon uitlekken door onversleutelde HTTP-verzoeken buiten de VPN-tunnel. Cure53 heeft Mozilla aangeraden om meer middelen en tijd te besteden aan het analyseren van mogelijke aanvalsvectoren om dergelijke kwetsbaarheden in de toekomst te voorkomen. Deze bevindingen benadrukken het belang van grondige beveiligingsanalyses voor VPN-diensten, vooral gezien hun cruciale rol in het beschermen van de online privacy en veiligheid van gebruikers. [pdf]
Kwetsbaarheden in Google Chromecasts Maken Weg Vrij voor Spyware en Malafide Firmware
Recent is onthuld dat Google Chromecasts kwetsbaar zijn voor aanvallen waarbij kwaadwillenden malafide firmware en spyware kunnen installeren. Dit stelt hen in staat om gevoelige informatie van gebruikers te onderscheppen. De kwetsbaarheden, ontdekt door beveiligingsonderzoeker Nolen Johnson van DirectDefense, worden als bijzonder risicovol beschouwd voor apparaten die via online marktplaatsen of veilingsites zijn aangeschaft, gezien de hogere kans dat deze met malware of spyware besmet zijn. Er zijn drie kritieke kwetsbaarheden geïdentificeerd, genummerd als CVE-2023-48424, CVE-2023-48425 en CVE-2023-6181. Deze stellen een aanvaller in staat om de Secure Boot van de Chromecast te omzeilen en ongeautoriseerde software te installeren. Fysieke toegang tot het apparaat is hiervoor vereist. Een aanvullend veiligheidsrisico komt van de afstandsbediening die met de Chromecast wordt gebruikt, welke een ingebouwde microfoon bevat. Deze kan op afstand worden ingeschakeld om de audio van gebruikers op te vangen. Bovendien is er een risico dat malware op de Chromecast inloggegevens van verschillende apps kan stelen. Google is in het tweede kwartaal van 2023 geïnformeerd over deze kwetsbaarheden en heeft op 5 december beveiligingsupdates uitgebracht voor de Chromecast met Google TV. Deze updates zijn cruciaal om gebruikers te beschermen tegen potentiële spionage en diefstal van gegevens. Het artikel benadrukt het belang van het bijhouden van software-updates en het vermijden van aankopen van apparaten via niet-geverifieerde bronnen. [1, 2]
⚠️ Dringende WordPress Update Noodzakelijk om Kritieke Kwetsbaarheid te Verhelpen
WordPress, het populaire contentmanagementsysteem, heeft een kritieke waarschuwing uitgegeven over een ernstige kwetsbaarheid die websites kwetsbaar maakt voor overnames op afstand. Deze kwetsbaarheid, die aanwezig is sinds WordPress versie 6.4, maakt remote code execution mogelijk onder bepaalde omstandigheden. Het lek is niet inherent aan WordPress 'core', maar vereist een bijkomende kwetsbaarheid in een plug-in of thema om te worden misbruikt. Securitybedrijf Wordfence benadrukt dat zogenaamde 'object injection' kwetsbaarheden veelvuldig voorkomen in plug-ins en thema's van WordPress, wat het risico op misbruik vergroot. Aanvallers kunnen deze kwetsbaarheden combineren met de kernkwetsbaarheid in WordPress zelf om volledige controle over websites te krijgen. WordPress heeft een update uitgebracht, versie 6.4.2, die dit beveiligingslek aanpakt. Het wordt beheerders van WordPress-websites sterk aangeraden om zo snel mogelijk te updaten naar deze nieuwe versie. Hoewel de meeste WordPress-sites automatisch updaten, is het essentieel dat beheerders hun systemen handmatig controleren om zeker te zijn dat de update succesvol is geïnstalleerd. Deze actie is cruciaal om de veiligheid van de website en de gegevens van de gebruikers te waarborgen. [1, 2]
Kritieke RCE-kwetsbaarheden in Atlassian Producten Gepatcht
Atlassian heeft beveiligingsadviezen gepubliceerd voor vier kritieke remote code execution (RCE) kwetsbaarheden die Confluence, Jira, Bitbucket servers en een macOS-app beïnvloeden. Deze kwetsbaarheden hebben allen een kritische ernstscore van minimaal 9.0 uit 10 gekregen, op basis van Atlassian's interne beoordeling. Ondanks dat er geen meldingen zijn van misbruik in de praktijk, raadt het bedrijf systeembeheerders aan om de beschikbare updates met prioriteit toe te passen vanwege de populariteit van Atlassian producten en hun uitgebreide implementatie in zakelijke omgevingen.
De vier RCE-kwetsbaarheden zijn geïdentificeerd als:
1. CVE-2023-22522: Een template injectie fout in Confluence, beïnvloedt alle versies na 4.0.0 tot 8.5.3.
2. CVE-2023-22523: Een bevoorrechte RCE in Jira Service Management Cloud, Server en Data Center, beïnvloedt Asset Discovery versies onder 3.2.0 voor Cloud en 6.2.0 voor Data Center en Server.
3. CVE-2023-22524: Omzeiling van de blocklist en macOS Gatekeeper in de Atlassian Companion App voor macOS, beïnvloedt alle versies voor 2.0.0.
4. CVE-2022-1471: RCE in de SnakeYAML bibliotheek, beïnvloedt meerdere versies van Jira, Bitbucket en Confluence producten.
Gebruikers worden aangeraden om te updaten naar de nieuwste versies van de betrokken producten om deze problemen aan te pakken. Atlassian heeft ook tijdelijke oplossingen voorgesteld voor gevallen waarin onmiddellijke patchtoepassing niet mogelijk is. Bijvoorbeeld, het blokkeren van de poort gebruikt voor communicatie met Asset Discovery agents als een tijdelijke maatregel voor CVE-2023-22523, en het aanbevelen van het offline halen van getroffen instanties of het deïnstalleren van de Atlassian Companion App voor respectievelijk CVE-2023-22522 en CVE-2023-22524.
21 Kwetsbaarheden Bedreigen Kritieke Infrastructuur Routers
Een reeks van 21 nieuw ontdekte kwetsbaarheden treft Sierra OT/IoT routers en vormt een bedreiging voor kritieke infrastructuren. Deze kwetsbaarheden maken het mogelijk voor aanvallers om op afstand code uit te voeren, ongeautoriseerde toegang te verkrijgen, cross-site scripting aanvallen uit te voeren, authenticatie te omzeilen, en denial of service aanvallen te lanceren. De kwetsbaarheden, ontdekt door Forescout Vedere Labs, treffen Sierra Wireless AirLink cellulaire routers en open-source componenten zoals TinyXML en OpenNDS. AirLink routers worden veel gebruikt in industriële en missiekritieke toepassingen vanwege hun hoge prestaties in 3G/4G/5G en WiFi en hun multi-netwerkconnectiviteit. Ze worden gebruikt in complexe scenario's zoals passagierswifi in openbaar vervoer, voertuigconnectiviteit voor nooddiensten, lange-afstands gigabitconnectiviteit voor veldoperaties en andere prestatie-intensieve taken. Forescout benadrukt dat Sierra routers te vinden zijn in systemen van de overheid, nooddiensten, energie, transport, water- en afvalwaterfaciliteiten, productie-eenheden en gezondheidszorgorganisaties. Onder de 21 kwetsbaarheden is er één beoordeeld als kritiek, acht met een hoge ernstscore en twaalf met een gemiddeld risico. Enkele opvallende kwetsbaarheden omvatten remote code execution in OpenDNS en ongeautoriseerde toegang in ALEOS. Aanvallers kunnen sommige van deze kwetsbaarheden exploiteren om volledige controle over een OT/IoT router in kritieke infrastructuur te verkrijgen. Dit kan leiden tot netwerkverstoringen, spionage, laterale bewegingen naar belangrijkere assets en malware-inzet. Deze kwetsbaarheden kunnen ook door botnets gebruikt worden voor automatische verspreiding, communicatie met command-and-control servers, en het uitvoeren van DoS-aanvallen. Een scan op de Shodan zoekmachine voor internetverbonden apparaten onthulde meer dan 86.000 online blootgestelde AirLink routers in kritieke organisaties. Ongeveer 80% van deze systemen bevindt zich in de Verenigde Staten. Minder dan 8.600 van deze systemen hebben patches toegepast voor kwetsbaarheden die in 2019 zijn onthuld, en meer dan 22.000 zijn blootgesteld aan man-in-the-middle aanvallen vanwege het gebruik van een standaard SSL-certificaat. Als remedie wordt aanbevolen om te upgraden naar ALEOS versie 4.17.0, die alle kwetsbaarheden aanpakt, of ten minste ALEOS 4.9.9, die alle fixes bevat behalve die welke OpenNDS captive portals beïnvloeden. Ook het OpenNDS project heeft beveiligingsupdates uitgebracht. TinyXML, nu verlaten software, zal geen fixes ontvangen voor de kwetsbaarheid die het project treft. Forescout adviseert ook om standaard SSL-certificaten te wijzigen, niet-essentiële diensten uit te schakelen of te beperken, en een webapplicatie-firewall en een OT/IoT-bewuste IDS te implementeren voor extra bescherming. [1, 2, 3, 4]
Grootschalige Kwetsbaarheid in Open-Source Bibliotheek Bedreigt Veiligheid van NFT Collecties
Een recent ontdekte kwetsbaarheid in een veelgebruikte open-source bibliotheek brengt de beveiliging van voorgebouwde smart contracts in gevaar, met gevolgen voor meerdere NFT-collecties, waaronder die van Coinbase. Deze bevinding werd onthuld door het Web3 ontwikkelingsplatform Thirdweb. Ondanks de snelle actie van Thirdweb, die twee dagen na ontdekking van het lek een oplossing uitbrachten, is de specifieke naam van de bibliotheek en de aard van de kwetsbaarheid niet vrijgegeven. Dit om potentiële aanvallers niet wijzer te maken. De volgende smart contracts worden beïnvloed door de kwetsbaarheid: AirdropERC20, ERC721, ERC1155, BurnToClaimDropERC721, DropERC20, LoyaltyCard, MarketplaceV3, Multiwrap, OpenEditionERC721, Pack, TieredDrop, TokenERC20, SignatureDrop, Split, TokenStake, NFTStake, en EditionStake. Thirdweb benadrukt echter dat op maat gemaakte contracten die hun Solidity SDK gebruiken, waarschijnlijk niet getroffen zijn, hoewel dit niet gegarandeerd kan worden. Deze situatie heeft tot frustratie geleid onder gebruikers, voornamelijk vanwege het gebrek aan transparantie en details van Thirdweb. Gebruikers hebben om de CVE-identificatie van de kwetsbaarheid en uitleg over de mitigatie gevraagd. Als reactie heeft Thirdweb geadviseerd om kwetsbare contracten onmiddellijk te vergrendelen, een snapshot te nemen, en vervolgens te migreren naar een nieuw contract dat met een veilige versie van de bibliotheek is gemaakt. Ze bieden ook retroactieve gasvergoedingen voor de uitvoering van deze maatregelen. Grote NFT-handelsplatformen, waaronder Coinbase NFT en Mocaverse, hebben reeds gereageerd op de situatie. Coinbase NFT bevestigde dat sommige van hun collecties getroffen zijn, maar benadrukte dat Coinbase zelf veilig is. Mocaverse heeft zijn gebruikers geïnformeerd dat hun activa veilig zijn en dat ze de relevante smart contracts succesvol hebben geüpgraded. OpenSea werkt ook nauw samen met Thirdweb om de risico's te beperken en getroffen gebruikers te ondersteunen. [1, 2, 3, 4]
Kritieke Update van Android in December Repareert Zero-Click RCE-kwetsbaarheid
In december 2023 heeft Google belangrijke beveiligingsupdates voor Android uitgebracht, die in totaal 85 kwetsbaarheden aanpakken. De meest opvallende onder deze kwetsbaarheden is een kritieke zero-click remote code execution (RCE) fout, aangeduid als CVE-2023-40088. Deze kwetsbaarheid bevindt zich in het systeemcomponent van Android en kan worden uitgebuit zonder dat extra rechten nodig zijn en zonder enige interactie van de gebruiker. Hoewel Google nog niet heeft bevestigd of deze beveiligingsfout actief is uitgebuit, biedt het een potentieel voor aanvallers om willekeurige code uit te voeren zonder dat de gebruiker actie hoeft te ondernemen. Naast deze kritieke RCE-kwetsbaarheid zijn er nog eens 84 beveiligingsproblemen opgelost. Drie daarvan zijn ook van kritieke ernst, namelijk privilege escalatie en informatielekken in de Android Framework- en systeemcomponenten. Een vierde kritieke kwetsbaarheid (CVE-2022-40507) is verholpen in gesloten componenten van Qualcomm. Twee maanden eerder, in oktober, repareerde Google ook twee beveiligingsfouten die als zero-days werden uitgebuit, waarvan één in de libwebp open-source bibliotheek en de andere meerdere versies van de Arm Mali GPU-driver trof, gebruikt in een breed scala aan Android-apparaatmodellen. Google heeft in de beveiligingsupdates van december twee sets patches uitgebracht, geïdentificeerd als de beveiligingsniveaus 2023-12-01 en 2023-12-05. De laatste omvat alle fixes van de eerste set, plus aanvullende patches voor gesloten bron- en kernelcomponenten van derden. Niet alle Android-apparaten hebben deze extra patches nodig. Het is ook belangrijk om op te merken dat, behalve Google Pixel-apparaten, die direct na de release maandelijkse beveiligingsupdates ontvangen, andere fabrikanten enige tijd nodig hebben om de patches uit te rollen. Deze vertraging is nodig voor aanvullende tests van de beveiligingspatches om te zorgen dat er geen onverenigbaarheden zijn met verschillende hardwareconfiguraties. [1, 2]
Kritieke Kwetsbaarheid in WordPress-Plug-in MW WP Form Bedreigt 170.000 Websites
Een recent ontdekte kritieke kwetsbaarheid in de WordPress-plug-in MW WP Form vormt een ernstige bedreiging voor ongeveer 170.000 websites. Deze plug-in, die breed wordt ingezet om mailformulieren op WordPress-sites te maken en op meer dan 200.000 sites geïnstalleerd is, bevat een beveiligingslek dat aanvallers in staat stelt willekeurige bestanden, waaronder PHP-bestanden, naar de webserver te uploaden. Hierdoor kunnen ze willekeurige code uitvoeren op de server. Het lek is vooral gevaarlijk als de optie "Saving inquiry data in database" ingeschakeld is. Securitybedrijf Wordfence ontdekte het lek op 24 november en informeerde de ontwikkelaars van de plug-in, die op 29 november een update (versie 5.0.2) uitbrachten om dit probleem aan te pakken. De ernst van de kwetsbaarheid wordt onderstreept door de hoge risicobeoordeling van 9.8 op een schaal van 1 tot 10. Ondanks de beschikbaarheid van de update, blijken veel websites het nog niet geïnstalleerd te hebben. Uit recente cijfers van WordPress.org blijkt dat slechts 32.000 van de meer dan 200.000 gebruikende sites de update in de afgelopen week hebben toegepast. Dit betekent dat ongeveer 170.000 sites nog steeds kwetsbaar zijn voor dit ernstige beveiligingsrisico. Websitebeheerders worden daarom dringend aangeraden om zo snel mogelijk de nieuwste versie van de plug-in te installeren om hun websites te beschermen tegen mogelijke aanvallen die via deze kwetsbaarheid kunnen plaatsvinden. [1, 2]
⚠️ Kritieke Waarschuwing voor Ziekenhuizen: Patch 'Citrix Bleed' Kwetsbaarheid Onmiddellijk
Het Amerikaanse Ministerie van Volksgezondheid en Human Services (HHS) heeft ziekenhuizen gewaarschuwd voor de kritieke 'Citrix Bleed' Netscaler kwetsbaarheid, die actief wordt uitgebuit in cyberaanvallen. Ransomwaregroepen gebruiken deze kwetsbaarheid, bekend als CVE-2023-4966, om netwerken binnen te dringen door inlogvereisten en multifactorauthenticatie te omzeilen. De Health Sector Cybersecurity Coordination Center (HC3) van HHS heeft een sectorwaarschuwing uitgegeven waarin alle Amerikaanse zorgorganisaties worden aangespoord hun kwetsbare NetScaler ADC en NetScaler Gateway apparaten te beveiligen tegen aanvallen van ransomwarebendes. De kwetsbaarheid wordt actief uitgebuit en HC3 dringt er sterk op aan dat organisaties hun apparaten upgraden om verdere schade aan de gezondheidszorg- en volksgezondheidssector te voorkomen. Citrix had eerder twee waarschuwingen uitgegeven, waarin beheerders werden gevraagd hun apparaten onmiddellijk te patchen en alle actieve en persistente sessies te beëindigen om te voorkomen dat aanvallers authenticatietokens stelen, zelfs na het installeren van de beveiligingsupdates. Onlangs waarschuwden CISA en de FBI ook voor de betrokkenheid van de LockBit ransomwaregroep bij de aanvallen. Eén van hun slachtoffers, het luchtvaartbedrijf Boeing, deelde details over hoe een LockBit-filiaal in oktober hun netwerk binnendrong door middel van een Citrix Bleed-exploit. Cybersecurityexpert Kevin Beaumont heeft wereldwijd cyberaanvallen geanalyseerd, waaronder die op Boeing, de Industrial and Commercial Bank of China (ICBC), DP World en Allen & Overy, en vond dat deze waarschijnlijk zijn uitgevoerd met Citrix Bleed-exploits. Beaumont onthulde dat een in de VS gevestigde managed service provider (MSP) onlangs is getroffen door een ransomware-aanval, uitgevoerd door een groep die de Citrix Bleed-kwetsbaarheid uitbuit. Citrix heeft de fout begin oktober gepatcht, maar Mandiant onthulde later dat deze sinds eind augustus 2023 actief werd uitgebuit als een zero-day. Meer dan 10.000 Citrix-servers, waarvan vele toebehoren aan kritieke organisaties in verschillende landen, waren medio november nog steeds kwetsbaar voor Citrix Bleed-aanvallen, meer dan een maand na het patchen van de kritieke fout. [1, 2, 3]
Windows 10 Update KB5032278 Introduceert Copilot AI-Assistent en Repareert 13 Bugs
Microsoft heeft onlangs de Copilot AI-assistent toegevoegd aan Windows 10 via de KB5032278-update van november 2023 voor systemen met Windows 10, versie 22H2. Deze functie, oorspronkelijk geïntroduceerd op Windows 11-apparaten, is nu beschikbaar in bepaalde wereldwijde markten. Om Copilot te gebruiken, moeten gebruikers hun taakbalk horizontaal positioneren, aangezien het niet compatibel is met verticaal gepositioneerde taakbalken. De update is optioneel en bevat naast de introductie van Copilot ook 18 bugfixes, waaronder verbeteringen in app-standaardinstellingen en oplossingen voor problemen met de cursorbeweging en het aanraakschermtoetsenbord. Microsoft heeft aangekondigd dat er in december 2023 geen preview-update zal zijn, maar de normale releasecyclus zal in januari 2024 hervatten. [1, 2, 3, 4, 5, 6]
Kritieke Beveiligingsfout in VMware Cloud Director Opgelost na Twee Weken
VMware heeft een kritieke beveiligingsfout in Cloud Director-appliance-implementaties hersteld, die meer dan twee weken ongepatcht bleef na de onthulling op 14 november. Cloud Director is een platform van VMware waarmee beheerders datacenters op meerdere locaties kunnen beheren als virtuele datacenters (VDC). Deze beveiligingsfout, bekend als CVE-2023-34060, beïnvloedde alleen apparaten die VCD Appliance 10.5 draaien en eerder waren opgewaardeerd vanuit een oudere versie. Nieuwe installaties van VCD Appliance 10.5, Linux-implementaties en andere apparaten werden niet beïnvloed. Aanvallers op afstand konden de fout in CVE-2023-34060 uitbuiten in aanvallen met lage complexiteit die geen gebruikersinteractie vereisten. Bij een geüpgraded VMware Cloud Director Appliance 10.5 kon een kwaadwillende met netwerktoegang de loginbeperkingen omzeilen bij authenticatie op poort 22 (ssh) of poort 5480 (appliancebeheerconsole). Deze omzeiling was niet aanwezig op poort 443 (VCD-provider en tenant-login). Bij nieuwe installaties van VMware Cloud Director Appliance 10.5 was de omzeiling ook niet aanwezig. VMware bood ook een tijdelijke oplossing voor beheerders die de beveiligingspatch niet onmiddellijk konden installeren. VMware Security Advisory VMSA-2023-0026 werd uitgebracht om klanten te helpen het probleem te begrijpen en welk upgrade-pad het zou oplossen. De door VMware gedeelde oplossing werkte alleen voor getroffen versies van VCD Appliance 10.5.0. Het vereiste het downloaden van een aangepast script en het uitvoeren ervan op cellen die kwetsbaar waren voor aanvallen via CVE-2023-34060. Deze tijdelijke oplossing veroorzaakte geen functionele verstoringen en downtime was geen zorg, aangezien noch een serviceherstart noch een herstart nodig was. Eerder, in juni, had VMware een zero-day in ESXi gepatcht die werd uitgebuit door Chinese cyberspionnen voor gegevensdiefstal. In oktober werd ook een kritieke fout in de vCenter Server opgelost, die gebruikt kon worden voor aanvallen met externe code-uitvoering. [1, 2, 3]
LogoFAIL: Ernstige Kwetsbaarheden in UEFI Code Bedreigen Bootprocessen
Een reeks beveiligingskwetsbaarheden, collectief bekend als LogoFAIL, bedreigt de UEFI code van verschillende fabrikanten. Deze kwetsbaarheden treffen de componenten voor het verwerken van afbeeldingen in UEFI, het Unified Extensible Firmware Interface, en kunnen worden uitgebuit om het opstartproces van computers te kapen en bootkits te installeren. De kwetsbaarheden liggen in de bibliotheken die worden gebruikt voor het tonen van logo's tijdens het opstarten, waardoor ze zowel x86- als ARM-architecturen beïnvloeden. Onderzoekers van Binarly, een platform voor firmware supply chain beveiliging, hebben aangetoond dat branding in firmware onnodige veiligheidsrisico's met zich meebrengt. Kwaadwillenden kunnen namelijk malafide afbeeldingen injecteren in de EFI System Partition (ESP) om schadelijke payloads uit te voeren. De kwetsbaarheden zijn ontdekt tijdens een onderzoeksproject naar aanvalsmogelijkheden via image-parsing componenten in UEFI firmware. Het uitbuiten van deze kwetsbaarheden stelt aanvallers in staat om controle over het bootproces te nemen en beveiligingsmaatregelen zoals Secure Boot en hardware-gebaseerde Verified Boot mechanismen te omzeilen. Dit type aanval zorgt voor een persistente bedreiging op het systeem, die moeilijk te detecteren is. Het unieke aan LogoFAIL is dat het de runtime-integriteit niet aantast, aangezien het niet nodig is de bootloader of firmware te wijzigen. Binarly's onderzoek toont aan dat deze kwetsbaarheden invloed hebben op meerdere fabrikanten en chipsets. Ze hebben vastgesteld dat honderden apparaten van Intel, Acer, Lenovo, en andere fabrikanten mogelijk kwetsbaar zijn, evenals de drie belangrijkste onafhankelijke leveranciers van aangepaste UEFI firmware code: AMI, Insyde, en Phoenix. De volledige technische details over LogoFAIL zullen worden gepresenteerd op de Black Hat Europe beveiligingsconferentie in Londen op 6 december. [1, 2, 3]
Kritieke Beveiligingslekken in Zyxel NAS-Apparaten Ontdekt
Zyxel heeft een waarschuwing uitgegeven aan de eigenaren van twee types NAS-apparaten, de Zyxel NAS326 en NAS542, vanwege diverse kritieke kwetsbaarheden. Deze kwetsbaarheden maken het voor ongeauthenticeerde aanvallers mogelijk om op afstand commando's uit te voeren op deze systemen. Van de zes ontdekte beveiligingslekken, zijn drie (CVE-2023-35138, CVE-2023-4473, CVE-2023-4474) bijzonder ernstig omdat ze het uitvoeren van OS-commando's door een ongeauthenticeerde aanvaller mogelijk maken. De ernst van deze drie kwetsbaarheden is beoordeeld met een score van 9.8 op een schaal van 1 tot 10, wat wijst op een zeer hoge impact. De overige drie lekken, hoewel ook aangepakt door Zyxel, hebben een lagere impactscore. Zyxel heeft gebruikers dringend verzocht de beschikbaar gestelde firmware-updates te installeren om deze kwetsbaarheden te verhelpen. Interessant is dat de Amerikaanse overheid al eerder, in juni van hetzelfde jaar, actief misbruik rapporteerde van een andere kritieke kwetsbaarheid (CVE-2023-27992) in de NAS-apparaten van Zyxel. Deze kwetsbaarheid maakte het eveneens mogelijk voor aanvallers om OS-commando's uit te voeren. Een update om dit lek te dichten werd op 20 juni vrijgegeven, maar binnen drie dagen na de release werd er al misbruik van gemaakt. [1]
VMware Implementeert Kritieke Beveiligingsupdate voor Cloud Director Appliance
Op 1 december 2023 meldde VMware de implementatie van een beveiligingsupdate voor een kritieke kwetsbaarheid in de VMware Cloud Director Appliance (VCD Appliance), twee weken na de initiële aankondiging van het probleem. Deze kwetsbaarheid, geïdentificeerd als CVE-2023-34060, stelde aanvallers in staat om authenticatie te omzeilen en toegang te verkrijgen via SSH (poort 22) of de appliance management console (poort 5480). Het lek was relevant voor systemen die van een oudere versie waren geüpgraded naar versie 10.5; nieuwe installaties waren niet getroffen. Gezien de ernst, met een score van 9.8 op een schaal van 10, bracht VMware versie 10.5.1 uit als oplossing en adviseerde organisaties dringend om deze update te installeren. In eerste instantie was er enkel een script als tijdelijke oplossing beschikbaar. De VCD Appliance, een vooraf geconfigureerde virtuele machine, is ontworpen voor het draaien van de VMware Cloud Director service, veel gebruikt voor software-as-a-service toepassingen. [1]
⚠️ Apple dicht kritieke zerodaylekken in iPhones
Op 1 december 2023 heeft Apple twee ernstige zerodaylekken aangepakt die iPhones in gevaar brachten. Deze lekken maakten iPhones kwetsbaar voor spyware-aanvallen door simpelweg malafide websites of gecompromitteerde advertenties te bezoeken, zonder dat verdere actie van de gebruiker nodig was. De kwetsbaarheden, gelabeld als CVE-2023-42916 en CVE-2023-42917, waren onderdeel van WebKit, de door Apple ontwikkelde browser-engine die verplicht is voor alle browsers op iOS en iPadOS. CVE-2023-42916 stelde aanvallers in staat gevoelige informatie te stelen, terwijl CVE-2023-42917 het mogelijk maakte voor aanvallers om willekeurige code uit te voeren. Deze kwetsbaarheden werden ontdekt door een onderzoeker van Google's Threat Analysis Group, een team dat zich richt op het bestrijden van staatsgesponsorde cyberaanvallen. De updates die de lekken verhelpen, zijn opgenomen in iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2, en Safari 17.1.2 voor macOS Monterey en Ventura. Apple heeft geen specifieke details over de aanvallen vrijgegeven. [1, 2, 3]
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers