Kwetsbaarheden CVE's
Kwetsbaarheden nieuws
Google Waarschuwt: Vertragingen in Android-Patches Verhogen het Risico van Kwetsbaarheden
Google heeft zijn jaarlijkse 0-day kwetsbaarheidsrapport gepubliceerd, waarin de exploitatiestatistieken van 2022 worden gepresenteerd. Dit rapport belicht een aanhoudend probleem op het Android-platform dat de waarde en het gebruik van bekende kwetsbaarheden verhoogt. Het gaat hierbij specifiek om het probleem van n-day kwetsbaarheden die functioneren als 0-day bedreigingen voor kwaadwillende actoren. Deze problematiek is te wijten aan de complexiteit van het Android-ecosysteem, met name het aantal stappen tussen de hoofdleverancier (Google) en de apparaatfabrikanten, evenals de variaties in frequenties van beveiligingsupdates tussen verschillende apparaatmodellen en andere factoren. Google waarschuwt dat n-day kwetsbaarheden maandenlang kunnen worden uitgebuit op niet-gepatchte apparaten, zelfs nadat een patch door Google of een andere leverancier beschikbaar is gesteld. Dit komt door vertragingen in de patching-processen, waarbij het maanden kan duren voordat een apparaatfabrikant de bug oplost in hun versies van Android. In 2022 zijn veel van deze problemen met Android geïdentificeerd, waarbij in sommige gevallen zelfs een vertraging van 17 maanden werd vastgesteld voordat de patch op apparaten werd uitgevoerd. Deze vertragingen maken een n-day kwetsbaarheid even waardevol als een zero-day voor bedreigingsactoren die het kunnen uitbuiten op ongepatchte apparaten. Hoewel het aantal zero-day kwetsbaarheden in 2022 lager was dan in 2021, blijft de vertraging in het patchproces een aanzienlijk veiligheidsrisico vormen voor Android-apparaten. (bron)
Ivanti herstelt kritieke zero-day kwetsbaarheid misbruikt in Noorse overheidsaanvallen
Ivanti heeft een nieuw beveiligingslek verholpen in de Endpoint Manager Mobile-software (voorheen MobileIron Core). Dit lek werd misbruikt als een zero-day exploit om de IT-systemen van twaalf Noorse ministeries te infiltreren. De beveiligingspatches zijn vrijgegeven voor de padtraversatiefout, getraceerd als CVE-2023-35081. Ivanti waarschuwde zijn klanten dat het "kritiek" is om zo snel mogelijk te upgraden om kwetsbare apparaten tegen aanvallen te beschermen. De Noorse nationale veiligheidsinstantie (NSM) bevestigde dat de kwetsbaarheid van de EPMM misbruikt werd om een softwareplatform te doorbreken dat gebruikt wordt door de overheidsorganen van het land. Het Noorse Security and Service Organization (DSS) verklaarde echter dat de cyberaanval geen invloed had op het kantoor van de premier, het Ministerie van Defensie, Justitie en Buitenlandse Zaken. De Noorse DPA (Data Protection Authority) is ook geïnformeerd over het incident, wat de zorg wekt dat de hackers mogelijk gevoelige gegevens hebben kunnen benaderen en/of extraheren uit de gecompromitteerde overheidssystemen. (bron)
Amerikaanse en Australische overheden waarschuwen voor IDOR-kwetsbaarheden
De Amerikaanse en Australische overheid hebben een waarschuwing afgegeven voor IDOR-kwetsbaarheden. IDOR, dat staat voor Insecure Direct Object Reference, treedt op wanneer een webapplicatie of API een object in een database opvraagt zonder authenticatie of andere vorm van toegangscontrole, wat kan leiden tot grote datalekken. IDOR-kwetsbaarheden zijn lastig te voorkomen, gezien elke use case uniek is en ze niet gemakkelijk verholpen kunnen worden met standaard beveiligingsfuncties. De waarschuwing is voornamelijk gericht aan leveranciers en ontwikkelaars van webapplicaties en de organisaties die deze gebruiken. De overheden adviseren ontwikkelaars om "secure coding practices" te volgen en organisaties om alleen te kiezen voor ontwikkelaars die deze best practices volgen. (bron)
🚨JOINT ADVISORY🚨 from @CISAgov, @NSACyber, & @CyberGovAu, titled “Preventing Web Application Access Control Abuse"
— CISA Cyber (@CISACyber) July 27, 2023
Protect systems against #IDOR abuse! Apply recommended mitigations, including #SecureByDesign principles to strengthen #cybersecurity.
➡️ https://t.co/vhlTetrBfl pic.twitter.com/NySmHSB6KT
Zimbra brengt patches uit voor zero-day kwetsbaarheid na aanvallen op ZCS e-mailservers
Zimbra heeft twee weken na de eerste openbaarmaking beveiligingsupdates uitgebracht om een zero-day kwetsbaarheid te verhelpen. Deze kwetsbaarheid werd uitgebuit bij aanvallen op Zimbra Collaboration Suite (ZCS) e-mailservers. Deze beveiligingsfout, ook bekend als CVE-2023-38750, is een gereflecteerde cross-site scripting (XSS) die werd ontdekt door beveiligingsonderzoeker Clément Lecigne van Google Threat Analysis Group. XSS-aanvallen vormen een aanzienlijke bedreiging, aangezien cybercriminelen hiermee gevoelige informatie kunnen stelen of kwaadaardige code op kwetsbare systemen kunnen uitvoeren. De Cybersecurity and Infrastructure Security Agency (CISA) van de Verenigde Staten heeft Amerikaanse federale instanties gewaarschuwd om hun systemen te beveiligen tegen CVE-2023-38750-aanvallen. Ze hebben ook een deadline van drie weken gesteld om de fout op alle niet-gepatchte apparaten tegen 17 augustus te verminderen. Hoewel deze richtlijnen zich voornamelijk op Amerikaanse federale agentschappen richten, wordt aanbevolen dat ook particuliere bedrijven patches prioriteren en implementeren voor alle kwetsbaarheden die worden vermeld in de CISA-catalogus van geëxploiteerde bugs. Zimbra dringt er bij gebruikers op aan om de oplossing handmatig op al hun mailboxknooppunten toe te passen om het hoogste beveiligingsniveau te behouden. (bron, bron2, bron3)
.@_clem1 discovered this being used in-the-wild in a targeted attack. Thank you to @Zimbra for publishing this advisory and mitigation advice! If you run Zimbra Collaboration Suite, please go manually apply the fix! #itw0days https://t.co/lqwt0kOFWA
— Maddie Stone (@maddiestone) July 13, 2023
Kwetsbaarheid in WordPress Ninja Forms-plugin stelt hackers in staat om ingediende gegevens te stelen
Onderzoekers van Patchstack hebben drie kwetsbaarheden ontdekt in de populaire WordPress-formulierbouwende plugin Ninja Forms. Deze kwetsbaarheden stellen aanvallers in staat om privileges te verhogen en gebruikersgegevens te stelen. De eerste kwetsbaarheid, met de naam CVE-2023-37979, is een POST-gebaseerde reflected XSS (cross-site scripting) die het ongeauthenticeerde gebruikers mogelijk maakt om privileges te verhogen en informatie te stelen door bevoorrechte gebruikers naar een speciaal gemaakte webpagina te lokken. De tweede en derde kwetsbaarheden, aangeduid als CVE-2023-38393 en CVE-2023-38386, zijn gebroken toegangscontroleproblemen in de exportfunctie van het plugin-formulier, waardoor abonnees en bijdragers alle gegevens kunnen exporteren die gebruikers hebben ingediend op de getroffen WordPress-site. Deze kwetsbaarheid, vooral CVE-2023-38393, is bijzonder gevaarlijk omdat een vereiste gebruikersrol voor abonnees gemakkelijk te bereiken is. Naar schatting zijn ongeveer 400.000 sites kwetsbaar voor deze aanvallen omdat slechts ongeveer de helft van de Ninja Forms-gebruikers de nieuwste versie (3.6.26) heeft gedownload, waarin de kwetsbaarheden zijn verholpen. Websitebeheerders die de Ninja Forms-plugin gebruiken, worden dringend aangeraden te updaten naar versie 3.6.26 of hoger om zichzelf te beschermen tegen mogelijke datalekken. Als dat niet mogelijk is, wordt aanbevolen om de plugin uit te schakelen totdat de patch kan worden toegepast. (bron, bron2)
Ubuntu verhelpt kwetsbaarheden in OverlayFS, waardoor aanvaller rechten kan verhogen
Op donderdag 27 juli 2023 heeft Ubuntu updates uitgebracht om meerdere kwetsbaarheden op te lossen, waaronder twee in de OverlayFS-implementatie die lokale aanvallers in staat stelt hun rechten te verhogen. Onderzoekers van securitybedrijf Wiz waarschuwen dat veertig procent van de Ubuntu-gebruikers en vooral cloudomgevingen risico lopen. OverlayFS is een veelgebruikt bestandssysteem dat gebruikers in staat stelt het ene bestandssysteem over het andere te leggen. In 2018 voerde Ubuntu verschillende aanpassingen aan de OverlayFS-module door, gevolgd door eigen aanpassingen van het Linux-kernelproject in 2019 en 2022, wat resulteerde in de kwetsbaarheden. Alleen aanvallers met toegang tot het systeem kunnen deze lekken misbruiken, wat vaak het geval is in cloudomgevingen. Beveiligingsbedrijf Wiz heeft al exploits ontdekt voor de twee beveiligingslekken. Ubuntu-gebruikers worden aangemoedigd om onmiddellijk hun systemen te updaten om misbruik te voorkomen. (bron, bron2)
Zimbra verhelpt actief aangevallen XSS-zerodaylek in webmailclient
De makers van de Zimbra collaborative software suite hebben recentelijk beveiligingsupdates uitgebracht om een actief aangevallen XSS-zerodaylek in de webmail-client te verhelpen. Daarnaast werd er ook een kwetsbaarheid aangepakt die aanvallers toegang gaf tot interne JSP- en XML-bestanden, wat mogelijk kon leiden tot remote code execution. Zimbra is een collaborative software suite die veelgebruikte mailserversoftware en een webmailclient bevat. Wereldwijd wordt deze software door meer dan 200.000 organisaties gebruikt, maar het is de afgelopen jaren regelmatig het doelwit geweest van aanvallen. Eerder waarschuwde Google al voor een actief aangevallen zerodaylek in Zimbra, waarvoor inmiddels een beveiligingsupdate beschikbaar was. Details over het XSS-zerodaylek werden niet vrijgegeven en er ontbrak een CVE-nummer om het beveiligingslek aan te duiden. Deze specifieke kwetsbaarheid werd enkel aangetroffen in versie 8.8.15 van Zimbra. Gisteren zijn er beveiligingsupdates uitgebracht voor verschillende versies van de software, waaronder drie kwetsbaarheden in versie 8.8.15. Een van deze kwetsbaarheden is aangeduid als CVE-2023-37580 en maakt cross-site scripting mogelijk, wat het stelen van cookies en toegang tot e-mails mogelijk kan maken. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security meldde gisterenavond dat er actief misbruik is gemaakt van CVE-2023-37580. Een link in de e-mail die werd verstuurd naar aanleiding van deze ontdekking, leidde op dat moment naar een pagina met de melding "Toegang geweigerd". Daarnaast werd er ook een beveiligingslek met de aanduiding CVE-2023-38750 aangepakt in Zimbra 10.0.2, 9.0.0 en 8.8.15. Dit lek, omschreven als een "bug die interne JSP- en XML-bestanden kan openbaren", stelde een aanvaller in staat om willekeurige bestanden te lezen. In het geval van Zimbra kon dit leiden tot remote code execution, waardoor een aanvaller kwetsbare servers kon overnemen. De exacte impact van deze kwetsbaarheid is nog niet berekend. Gebruikers wordt aangeraden om hun Zimbra-software onmiddellijk bij te werken naar de nieuwste versie om zichzelf te beschermen tegen deze bekende beveiligingslekken. (bron, bron2)
Latest @Zimbra patch's headline: updating the OpenSSL package
— Ivan Kwiatkowski (@JusticeRage) July 26, 2023
Actual headline: fixing an arbitrary file read, which in their stack immediately translates to RCE (CVE-2023-38750).
Update ASAP!
Bijna 40% van de Ubuntu-gebruikers kwetsbaar voor nieuwe privilegeverhogende kwetsbaarheden
In recente updates van de Ubuntu-kernel zijn twee Linux-kwetsbaarheden geïntroduceerd, waardoor onbevoorrechte lokale gebruikers verhoogde rechten kunnen verkrijgen op een groot aantal apparaten. Dit probleem treft bijna 40% van de Ubuntu-gebruikers, wat overeenkomt met een gebruikersbasis van meer dan 40 miljoen. De geïdentificeerde kwetsbaarheden, bekend als CVE-2023-32629 en CVE-2023-2640, zijn ontdekt door onderzoekers van Wiz, S. Tzadik en S. Tamari. CVE-2023-2640 is een ernstige kwetsbaarheid (CVSS v3-score: 7.8) in de Ubuntu Linux-kernel, veroorzaakt door onvoldoende machtigingscontroles waardoor een lokale aanvaller verhoogde rechten kan krijgen. CVE-2023-32629 is een matige kwetsbaarheid (CVSS v3-score: 5.4) in het geheugenbeheersubsysteem van de Linux-kernel, waarbij een raceconditie bij het benaderen van VMAs kan leiden tot use-after-free, waardoor een lokale aanvaller willekeurige code kan uitvoeren. De problemen werden ontdekt na discrepanties te hebben gevonden bij de implementatie van de OverlayFS-module in de Linux-kernel. OverlayFS is een bestandssysteem-implementatie voor het samenvoegen van meerdere bronnen, en dit specifieke onderdeel is in het verleden vaak aangevallen vanwege de mogelijkheid tot onbevoorrechte toegang. Ubuntu had in 2018 aangepaste wijzigingen aangebracht aan de OverlayFS-module, maar latere aanpassingen van het Linux-kernelproject in 2019 en 2022 veroorzaakten conflicten. Hierdoor zijn de twee kwetsbaarheden in de brede distributie geïntroduceerd. Gebruikers van Ubuntu wordt geadviseerd om de meest recente updates van de Ubuntu Linux-kernel te installeren, waarin deze kwetsbaarheden zijn verholpen. Dit kan eenvoudig worden gedaan via het pakketbeheer van Ubuntu, waarna een herstart van het systeem vereist is om de updates van kracht te laten worden. Andere Linux-distributies, inclusief Ubuntu-afgeleiden, die geen aangepaste wijzigingen in de OverlayFS-module gebruiken, worden niet door deze kwetsbaarheden getroffen. (Bron, bron2)
Windows 11 KB5028254-update pakt VPN-problemen aan en fixt 27 andere bugs
Microsoft heeft een optionele cumulatieve update voor Windows 11, versie 22H2, uitgebracht. Deze update, aangeduid als KB5028254, lost 27 problemen op, waaronder prestatieproblemen met VPN's en problemen met weergave- of audioapparaten. De KB5028254-update is een maandelijkse, niet-beveiligingsgerelateerde pre-release die bedoeld is voor Windows-beheerders en gebruikers om verbeteringen te testen die in de aanstaande Patch Tuesday-release van augustus 2023 zullen verschijnen. De update pakt onder andere problemen aan die ervoor zorgen dat audio- en weergaveapparaten verdwijnen nadat systemen uit slaapstand zijn ontwaakt. Bij gebruik van een VPN op een draadloos mesh-netwerk dat een agressief gasalgoritme hanteert, kan er sprake zijn van buitensporige ARP-verzoeken (adresresolutieprotocol) voor de netwerkgateway, wat resulteert in slechte netwerkprestaties. Deze update lost dat probleem op. Daarnaast maakt deze update de helderheidsinstellingen nauwkeuriger en voorkomt het dat Widgets onverwacht loskomen van de Windows-taakbalk. Om KB5028254 te installeren, kunnen gebruikers naar Instellingen > Windows Update gaan en op 'Downloaden en installeren' klikken na het controleren op updates. De update kan ook handmatig worden gedownload en geïnstalleerd vanuit de Catalogus voor Microsoft-updates. Na installatie wordt Windows 11 22H2 bijgewerkt naar build 22621.2070. Microsoft heeft ook gewaarschuwd voor een bekend probleem dat deze release beïnvloedt: een langdurige bug onderbreekt de levering op Windows 11 22H2-bedrijfssystemen en laat eindpunten gedeeltelijk geconfigureerd, zonder de installatie te voltooien. Er is een tijdelijke oplossing voor dit probleem beschikbaar. (Bron, bron2, bron3)
Windows 11 KB5028254 preview update
Microsoft lanceert optionele KB5028244-update voor Windows 10 met 19 correcties en verbeterde beveiliging
Microsoft heeft de optionele KB5028244 Preview cumulatieve update voor Windows 10 22H2 vrijgegeven, die 19 fixes of wijzigingen bevat. Deze release omvat een bijgewerkte Vulnerable Driver Blocklist om BYOVD-aanvallen te blokkeren en diverse prestatie-, gaming-, en printbugs te verhelpen. De update maakt deel uit van Microsoft's nieuwe "optionele niet-beveiligingsvoorbeeldupdates" die op de laatste dinsdag van elke maand worden uitgebracht. Het stelt Windows-beheerders in staat om aanstaande oplossingen en functies te testen die worden uitgebracht in de verplichte Patch Tuesday van de volgende maand. Ondanks dat het een optionele update betreft, worden Windows-gebruikers aangemoedigd om deze te installeren voor de verbeterde prestaties en beveiliging. Gebruikers kunnen de update installeren via Instellingen, door te klikken op Windows Update, en het uitvoeren van een 'Controleer op updates.' (Bron, bron2)
Windows 10 KB5028244 cumulative update preview
Microsoft Verhelpt Videoregistratieproblemen in Windows Apps
Microsoft heeft een bekend probleem opgelost dat storingen veroorzaakte bij het opnemen en afspelen van video's in sommige apps op Windows 10 en Windows 11 systemen. Apps die de WVC1 (Windows Media Video 9 Advanced Profile) codec gebruiken, konden onverwacht falen, zoals Microsoft onthulde in een nieuwe invoer toegevoegd aan het Windows release gezondheidsdashboard. WVC1 is ontwikkeld om het conventionele videocodec-ontwerp te verbeteren, dat vertrouwt op discrete cosinus transformatie (DCT), een techniek gedeeld door andere codecs zoals H.261, H.263, MPEG-1, MPEG-2 en MPEG-4. Na het installeren van KB5027303 of latere updates kunnen sommige apps mislukken bij het afspelen, opnemen of vastleggen van video bij het gebruik van de WVC1 codec (VC-1). Bepaalde camera's of webcams kunnen ook niet werken als ze standaard de WVC1-codec gebruiken. De lijst met getroffen platforms omvat Windows 10 22H2, Windows 11 21H2 en Windows 11 22H2. Het probleem wordt geactiveerd na het installeren van preview cumulatieve updates die in de afgelopen twee maanden zijn uitgebracht. Microsoft heeft het probleem al aangepakt met behulp van Known Issue Rollback (KIR), een Windows-functie die Redmond helpt om foutieve niet-beveiligingsupdates die via Windows Update zijn geleverd, ongedaan te maken. De oplossing kan tot 24 uur duren om automatisch te verspreiden naar consumenten- en niet-beheerde bedrijfsapparaten. Om de implementatie te versnellen, kunt u ook uw Windows-apparaat opnieuw opstarten. Om de problemen met het opnemen en afspelen van video's op getroffen Windows enterprise-beheerde apparaten op te lossen, moeten Windows-beheerders een KIR Group Policy installeren en instellen. Na installatie kan het Groepsbeleid worden gevonden onder Computerconfiguratie -> Beheersjablonen. (Bron)
Groot aantal MikroTik-routers kwetsbaar voor aanvaller die super-admin kan worden
Honderdduizenden MikroTik-routers die vanaf internet benaderbaar zijn, bevatten een beveiligingslek waardoor een aanvaller super-admin toegang kan krijgen. Hoewel MikroTik vorig jaar oktober en afgelopen juni updates heeft uitgebracht, vermelden de release notes niet dat het lek is verholpen. Naar schatting hebben 900.000 routers de patch niet geïnstalleerd, volgens meldingen van securitybedrijf Vulncheck via zoekmachine Shodan. Het beveiligingslek, bekend als CVE-2023-30799, stelt een aanvaller in staat om met admin-toegang tot de router super-admin rechten te verkrijgen. Onderzoeker Jacob Baines waarschuwt dat de vereiste dat een aanvaller als admin moet kunnen inloggen de kwetsbaarheid niet minder gevaarlijk maakt. Het standaard besturingssysteem voor MikroTik-routers, RouterOS, wordt geleverd met een "admin" gebruiker, waarvan het standaard wachtwoord een lege string is. Uit onderzoek blijkt dat bijna zestig procent van de onderzochte MikroTik-routers nog steeds de standaard admin-gebruiker gebruikt. RouterOS maakt geen gebruik van wachtwoordregels, wat betekent dat beheerders elk wachtwoord kunnen kiezen, zelfs als het zwak is. Baines benadrukt dat RouterOS problemen heeft die het raden van admin-inloggegevens eenvoudiger maken dan het zou moeten zijn. Om de routers beter te beveiligen, wordt beheerders aangeraden de beheerdersinterfaces niet vanaf het internet benaderbaar te maken en het aantal IP-adressen te beperken waarmee kan worden ingelogd. Ook wordt aangeraden de Winbox-webinterface uit te schakelen en alleen SSH voor beheer te gebruiken, met configuratie van public/private keys en uitschakeling van inloggen met een wachtwoord. Het installeren van de updates is essentieel. Het beveiligingslek is verholpen in RouterOS stable versie 6.49.7 (oktober 2022) en RouterOS long-term versie 6.49.8 (juli 2023). (Bron, bron2)
I got a root shell on MikroTik RouterOS MIPSBE using CVE-2023-30799. The exploit works on long-term until 6.49.8 (July 2023) and stable until 6.49.7 (October, 2022). Exploitation occurs remotely through web interface (although Winbox should work as well).https://t.co/An35nalV2B
— Jacob Baines (@Junior_Baines) July 25, 2023
Kritieke kwetsbaarheid in AMI MegRAC BMC zet wereldwijde servers op het spel
Een recent ontdekte kwetsbaarheid in de AMI MegRAC BMC stelt aanvallers in staat om servers wereldwijd op afstand over te nemen, zelfs als deze zijn uitgeschakeld. De kwetsbaarheden werden geïdentificeerd door beveiligingsbedrijf Eclypsium in de American Megatrends MegaRAC Baseboard Management Controller (AMI MegaRAC BMC), een component dat op grote schaal wordt gebruikt voor 'lights out'-beheer. Twee jaar geleden werd de serverfabrikant Gigabyte getroffen door een ransomware-aanval, waarbij 112 GB aan gegevens werd gestolen, inclusief de broncode voor de firmware van de MegaRAC BMC. Met behulp van deze code ontdekte Eclypsium vijf kwetsbaarheden die aanvallers kunnen gebruiken om de controle over servers te krijgen. AMI is op de hoogte gebracht en heeft een patch uitgebracht, hoewel het risico op misbruik nog steeds hoog is vanwege traditioneel trage firmware-updates. (Bron)
Ivanti lost zero-day authenticatie-bypass kwetsbaarheid op in zijn EPMM-software
Het Amerikaanse IT-softwarebedrijf Ivanti heeft een actief uitgebuite zero-day authenticatie-bypass kwetsbaarheid verholpen die zijn Endpoint Manager Mobile (EPMM) mobiele apparaatbeheersoftware (voorheen MobileIron Core) beïnvloedt. De kwetsbaarheid, bekend als CVE-2023-35078, betreft ongeautoriseerde API-toegang. Ivanti heeft beveiligingspatches uitgebracht die kunnen worden geïnstalleerd door te upgraden naar EPMM-versies 11.8.1.1, 11.9.1.1 en 11.10.0.2. De patches richten zich ook op niet-ondersteunde en verouderde softwareversies lager dan 11.8.1.0. De kwetsbaarheid in Ivanti EPMM kan ongeautoriseerde gebruikers toegang geven tot beperkte functionaliteiten of bronnen van de applicatie zonder de juiste authenticatie. Dit beveiligingsprobleem heeft invloed op alle ondersteunde versies 11.10, 11.9 en 11.8. Oudere versies zijn ook in gevaar. Een ongeautoriseerde externe actor kan toegang krijgen tot persoonlijk identificeerbare informatie van gebruikers en beperkte wijzigingen aan de server toestaan. Er zijn meer dan 2.900 MobileIron gebruikersportalen online blootgesteld, met drie dozijn gelinkt aan Amerikaanse lokale en staatsagentschappen. De meeste van de blootgestelde servers bevinden zich in de Verenigde Staten, gevolgd door Duitsland, het Verenigd Koninkrijk en Hong Kong. Netwerkbeheerders worden sterk geadviseerd de Ivanti EPMM-patches zo snel mogelijk toe te passen. (Bron, bron2, bron3)
We are working to get the info from MobileIron, but everything they are giving us will be under NDA.
— lost troll (@lost_troll) July 24, 2023
Apple dicht meerdere zerodaylekken die iPhones en Macs in gevaar brachten
Apple heeft gisterenavond meerdere zerodaylekken verholpen die zijn gebruikt bij aanvallen tegen iPhones en Macs, aldus het techbedrijf. Via de kwetsbaarheden is het mogelijk om volledige controle over toestellen te krijgen. In het geval van iOS en iPadOS 15 gaat het om een beveiligingslek in de kernel (CVE-2023-38606) waardoor een aanvaller of malafide app code met kernelrechten kunnen uitvoeren en een kwetsbaarheid in WebKit (CVE-2023-32409) die het voor een aanvaller mogelijk maakt om uit de Web Content sandbox te breken. WebKit is de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. In iOS en iPadOS 16 verhielp Apple naast CVE-2023-38606 ook CVE-2023-37450, een kwetsbaarheid in WebKit waardoor een aanvaller willekeurige code kan uitvoeren. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van besmette advertenties is voldoende voor een aanvaller om misbruik van het lek te maken. Dergelijke aanvallen worden ook wel een drive-by download genoemd. Voor CVE-2023-37450 was Apple eerder al met een Rapid Security Response gekomen. Rapid Security Responses zijn patches voor actief aangevallen kwetsbaarheden die Apple buiten de normale updates aanbiedt. Daarnaast zullen de betreffende fixes ook onderdeel van de volgende normale software-update zijn. Iets wat Apple met iOS 16.6 en iPadOS 16.6 heeft gedaan. Daarnaast zijn gebruikers van iOS en iPadOS 15 nu ook beschermd tegen CVE-2023-32409. De Rapid Security Response die Apple eerder uitbracht was alleen beschikbaar voor iOS en iPadOS 16. Het beveiligingslek in de iOS-kernel (CVE-2023-38606) werd gevonden door onderzoekers van antivirusbedrijf Kaspersky. De virusbestrijder stelt dat de kwetsbaarheid is ingezet bij een jarenlange campagne waarbij iPhones via een reeks kwetsbaarheden met spyware werden besmet. Het ging om een "0-click exploit chain", waarbij geen enkele interactie van slachtoffers was vereist om geïnfecteerd te worden. In iOS en iPadOS 16 zijn in totaal 26 kwetsbaarheden verholpen. Het gaat onder andere om een kwetsbaarheid die de Nederlandse beveiligingsonderzoeker Thijs Alkemade ontdekte en het mogelijk maakt voor een malafide app om uit de sandbox te breken. Ook werd een beveiligingslek in Find My opgelost waardoor malafide apps gevoelige locatiegegevens kunnen uitlezen. Updaten naar de nieuwste versies van iOS en iPadOS kan via de updatefunctie en iTunes. Met macOS Ventura 13.5 heeft Apple 42 kwetsbaarheden verholpen, waaronder ook CVE-2023-38606 en CVE-2023-37450. In het geval van CVE-2023-38606 vermeldt Apple dat het lek alleen tegen iOS is ingezet. Net als bij iOS en iPadOS gaat het ook bij macOS om meerdere kwetsbaarheden die "arbitrary code execution" mogelijk maken. Naast Ventura verschenen ook voor Big Sur en Monterey updates. Gebruikers wordt dan ook aangeraden om de nieuwe versie te installeren.
The story of the #iOSTriangulation in-the-wild 0-days continues! CVE-2023-38606 is another kernel vulnerability that was used in the 0-click exploit chain. Discovered by Valentin Pashkov, Mikhail Vinogradov, @kucher1n, @bzvr_, and yours truly. Update all your Apple devices! pic.twitter.com/ReqCg4Pa73
— Boris Larin (@oct0xor) July 24, 2023
Kritieke AMI MegaRAC-bugs kunnen hackers kwetsbare servers laten blokkeren
Er zijn twee nieuwe kritieke kwetsbaarheden ontdekt in de MegaRAC Baseboard Management Controller (BMC) software van American Megatrends International. MegaRAC BMC biedt beheerders mogelijkheden voor systeembeheer op afstand voor servers. De kwetsbaarheden, CVE-2023-34329 en CVE-2023-34330, stellen aanvallers in staat om de beheerinterface te misleiden, authenticatie te omzeilen en kwaadaardige code in te voegen. Dit kan leiden tot externe code-uitvoering op servers met kwetsbare firmware. Verschillende serverfabrikanten, waaronder AMD, Dell EMC, en Lenovo, gebruiken deze firmware. De impact van deze bugs omvat onder andere serverbricking, ransomware-implementatie en onbepaalde reboot-loops, wat ernstige gevolgen kan hebben voor slachtofferorganisaties. Ondanks dat er geen bewijs is van actieve exploits, blijft het risico hoog vanwege de mogelijkheid voor aanvallers om deze kwetsbaarheden te misbruiken. (Bron)
Actief aangevallen ColdFusion zeroday aangepakt door Adobe's noodpatch
Adobe heeft vanavond een noodpatch uitgebracht voor een actief aangevallen zerodaylek in ColdFusion. Op 11 en 14 juli kwam het softwarebedrijf ook al met beveiligingsupdates. voor de software Volgens Adobe wordt van de nieuwste kwetsbaarheid, aangeduid als CVE-2023-38205, op beperkte schaal misbruik gemaakt. Via het beveiligingslek kan een aanvaller willekeurige code uitvoeren. De impact van het kritieke beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Daarnaast zijn vanavond ook nog twee andere kwetsbaarheden verholpen, in beide gevallen een "security feature bypass", waarvan er één als kritiek is aangemerkt. Op 11 juli verhielp Adobe tijdens de patchronde van juli ook drie kwetsbaarheden in ColdFusion, waaronder één arbitrary code execution en twee security feature bypasses, net als nu het geval is. Vervolgens kwam Adobe op 14 juli met een noodpatch voor een kritieke kwetsbaarheid waardoor een aanvaller ook willekeurige code op ColdFusion-servers kan uitvoeren en waarschuwde dat er al proof-of-concept exploitcode op internet was verschenen. In het geval van CVE-2023-38205 wordt er al misbruik van het beveiligingslek gemaakt. Adobe roept organisaties dan ook op om de patches voor ColdFusion 2018, 2021 en 2023 zo snel mogelijk te installeren, waarbij als voorbeeld binnen 72 uur wordt gegeven. Details over de aanvallen zijn niet gegeven. ColdFusion is een platform voor het ontwikkelen van webapplicaties. In het verleden zijn kwetsbaarheden in ColdFusion vaker gebruikt voor aanvallen op ColdFusion-applicatieservers. Begin dit jaar waarschuwde Adobe nog voor een ander actief misbruikt zerodaylek in de software.
Meer dan 500 beveiligingsupdates beschikbaar gesteld door Oracle in juli
Oracle heeft tijdens de patchronde van juli meer dan vijfhonderd beveiligingsupdates uitgebracht die klanten meteen moeten installeren, zo stelt het softwarebedrijf. Het gaat hier niet om individuele kwetsbaarheden, maar om unieke patches. Sommige van de beveiligingslekken bevinden zich in meerdere producten waarvoor Oracle aparte patches uitbrengt, wat het grote aantal updates verklaart. De meeste patches, 147 in totaal, verschenen voor producten in de categorie financiële dienstenapplicaties. Het gaat dan bijvoorbeeld om Oracle Banking en Oracle Financial Services. Verder zijn er veel updates verschenen voor de communicatie-applicaties van Oracle en Fusion Middleware. De impact van tientallen van de kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het gaat onder andere om een kwetsbaarheid in Oracle WebLogic Server (CVE-2023-26119). Oracle WebLogic is een populaire Java-applicatieserver en een geliefd doelwit van cybercriminelen. In het verleden zijn kwetsbaarheden in de software vaker het doelwit van aanvallen geweest. Zo waarschuwde de Amerikaanse overheid afgelopen mei nog voor actief misbruik van een kwetsbaarheid in WebLogic. Oracle zegt dat het berichten blijft ontvangen van aanvallen waarbij er misbruik wordt gemaakt van kwetsbaarheden waarvoor Oracle al beveiligingsupdates heeft uitgebracht. Sommige van de aanvallen waren ook succesvol omdat klanten hadden nagelaten de patches te installeren, aldus het softwarebedrijf. Oracle roept organisaties dan ook op om de nu beschikbaar gestelde updates meteen te installeren.
In tegenstelling tot bijvoorbeeld Adobe of Microsoft komt Oracle niet elke maand maar elk kwartaal met updates. De volgende patchronde staat gepland voor. 17 oktober van dit jaar.
Nieuwe kritieke Citrix ADC en Gateway-kwetsbaarheid geëxploiteerd als zero-day
Citrix heeft klanten gewaarschuwd voor een ernstige kwetsbaarheid (CVE-2023-3519) in NetScaler ADC en NetScaler Gateway, die al wordt misbruikt en dringt er bij klanten op aan om onmiddellijk bijgewerkte versies te installeren. Het beveiligingslek is mogelijk dezelfde als die eerder deze maand op een hackersforum werd geadverteerd als een zero-day kwetsbaarheid. De kwetsbaarheid heeft een kritieke impact en stelt aanvallers in staat om op afstand code uit te voeren zonder authenticatie. Citrix adviseert klanten om over te stappen op bijgewerkte versies om het probleem op te lossen. Specifiek worden de volgende versies aanbevolen: NetScaler ADC en NetScaler Gateway 13.1-49.13 en latere versies, NetScaler ADC en NetScaler Gateway 13.0-91.13 en latere versies van 13.0, NetScaler ADC 13.1-FIPS 13.1-37.159 en latere versies van 13.1-FIPS, NetScaler ADC 12.1-FIPS 12.1-65.36 en latere versies van 12.1-FIPS, NetScaler ADC 12.1-NDcPP 12.1-65.36 en latere versies van 12.1-NDcPP. Klanten wordt ook geadviseerd om te upgraden naar nieuwere varianten van de producten, aangezien NetScaler ADC en NetScaler Gateway versie 12.1 het einde van hun levensduur hebben bereikt. Naast de kritieke kwetsbaarheid worden er ook fixes uitgebracht voor twee andere kwetsbaarheden met een hoge impact, namelijk CVE-2023-3466 (reflected cross-site scripting) en CVE-2023-3467 (privilege escalation). Organisaties met NetScaler ADC- en Gateway-apparaten wordt aangeraden om deze updates prioritair te behandelen. (Bron)
Kritieke ontwerpfout in Google Cloud Build stelt hackers in staat om supply chain-aanvallen uit te voeren
Samenvatting: Orca Security, een cloudbeveiligingsbedrijf, heeft een kritieke ontwerpfout ontdekt in de Google Cloud Build-service die hackers in staat stelt om privileges te verhogen en vrijwel volledige en ongeautoriseerde toegang te verkrijgen tot code-opslagplaatsen in de Google Artifact Registry. Deze kwetsbaarheid, bekend als Bad.Build, stelt bedreigingsactoren in staat om de serviceaccount voor de Google Cloud Build-service te imiteren en API-oproepen uit te voeren tegen de artifact registry, waardoor ze controle krijgen over toepassingsafbeeldingen. Dit opent de deur voor het injecteren van kwaadaardige code, het resulteren in kwetsbare toepassingen en potentiële supply chain-aanvallen. Orca Security benadrukt dat organisaties die de Artifact Registry als hun belangrijkste of secundaire imagerepository gebruiken, risico lopen. Het is belangrijk dat organisaties aandacht besteden aan het gedrag van het standaard Google Cloud Build-serviceaccount en maatregelen nemen, zoals het toepassen van het principe van de minste privileges en het implementeren van cloud detectie- en responsmogelijkheden, om het risico te verminderen. Google Cloud Build-klanten wordt geadviseerd de standaard rechten van het Cloud Build-serviceaccount aan te passen om privileges te beperken en mogelijke privilege-escalatierisico's te verminderen. (Bron)
CISA deelt gratis tools om gegevens in de cloud te beveiligen
Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een factsheet gedeeld met gratis tools en richtlijnen voor het beveiligen van digitale activa in de cloud. De tools zijn ontworpen om netwerkverdedigers en cybersecurityprofessionals te helpen bij het verminderen van risico's zoals diefstal, blootstelling van informatie, gegevensversleuteling en afpersingsaanvallen. De tools, waaronder de Cybersecurity Evaluation Tool (CSET) en Untitled Goose Tool, vullen de ingebouwde beveiligingsmogelijkheden van cloudserviceproviders aan. CISA moedigt organisaties aan om gebruik te maken van zowel de ingebouwde beveiligingsfuncties als de gratis tools om beveiligingslacunes aan te pakken en bestaande beveiligingsmaatregelen aan te vullen. De aankondiging van CISA maakt deel uit van hun voortdurende inspanningen om kritieke infrastructuur te beschermen tegen cyberdreigingen door tijdige waarschuwingen en begeleiding te bieden. (Bron)
Adobe waarschuwt voor ernstige kwetsbaarheid in ColdFusion en brengt noodpatch uit
Adobe heeft buiten de vaste patchcyclus om een noodpatch uitgebracht voor een kritieke kwetsbaarheid in ColdFusion waardoor remote code execution mogelijk is. Een proof-of-concept exploit is al op internet gepubliceerd. Organisaties die van ColdFusion gebruikmaken krijgen het advies van Adobe om de update "zo snel mogelijk" te installeren, waarbij als voorbeeld binnen 72 uur wordt gegeven. ColdFusion is een platform voor het ontwikkelen van webapplicaties. In het verleden zijn kwetsbaarheden in ColdFusion vaker gebruikt voor aanvallen op ColdFusion-applicatieservers. Begin dit jaar waarschuwde Adobe nog voor een actief misbruikt zerodaylek in de software. De kwetsbaarheid waarvoor nu wordt gewaarschuwd, aangeduid als CVE-2023-38203, bevindt zich in ColdFusion 2018, 2021 en 2023 en laat een aanvaller willekeurige code uitvoeren. Twee verschillende onderzoekers rapporteerden het probleem aan Adobe. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.
Apple lost zero-day kwetsbaarheid op en lanceert opnieuw noodbeveiligingsupdates
Apple heeft de noodbeveiligingsupdates die een zero-day kwetsbaarheid van WebKit aanpakken, opnieuw uitgebracht. De oorspronkelijke patches moesten op maandag worden ingetrokken vanwege problemen bij het browsen op sommige websites. Het bedrijf was op de hoogte van het probleem en merkte op dat recente beveiligingsupdates sommige websites mogelijk niet correct weergaven. Apple adviseerde klanten de updates te verwijderen als ze surfproblemen ondervonden na de update. De heruitgegeven beveiligingsupdates lossen nu deze browseproblemen op. Het bedrijf benadrukte dat de updates, die een fout in de WebKit-browser-engine aanpakken, belangrijk zijn voor alle gebruikers, aangezien ze weten dat deze kwetsbaarheid mogelijk actief wordt misbruikt. Sinds het begin van 2023 heeft Apple tien zero-day kwetsbaarheden aangepakt die in het wild worden misbruikt. (Bron: iOS, macOS)
SonicWall dringt aan op directe patch voor kritieke kwetsbaarheden in de GMS en Analytics Suites
SonicWall heeft klanten gewaarschuwd om onmiddellijk meerdere kritieke kwetsbaarheden te patchen die van invloed zijn op het Global Management System (GMS) en de Analytics-netwerkrapportage-engine suites. In totaal zijn er vandaag 15 beveiligingsfouten aangepakt, waaronder enkele die bedreigende actoren toegang kunnen geven tot kwetsbare on-prem-systemen met eerdere versies van GMS en Analytics, na het omzeilen van authenticatie. Vier van deze kwetsbaarheden hebben een kritische CVSSv3-beoordeling gekregen, omdat ze een aanvaller de mogelijkheid bieden om authenticatie te omzeilen en mogelijk toegang te krijgen tot gevoelige informatie. SonicWall PSIRT heeft sterk aangeraden dat organisaties die de getroffen versies van GMS/Analytics gebruiken, onmiddellijk moeten upgraden naar de respectievelijke gepatchte versie. SonicWall-producten worden gebruikt door meer dan 500.000 zakelijke klanten wereldwijd, waaronder overheidsinstanties en enkele van de grootste bedrijven ter wereld.
Kritische Fout Ontdekt in Open-source Ghostscript PDF-bibliotheek
Ghostscript, een open-source tool voor de interpretatie van PostScript-taal en PDF-bestanden die breed in Linux wordt gebruikt, heeft een ernstige fout die externe code-uitvoering (RCE) mogelijk maakt. Deze kwetsbaarheid, geïdentificeerd als CVE-2023-3664, heeft een CVSS v3-classificatie van 9.8 en treft alle Ghostscript-versies voor 10.01.2. Volgens analisten G. Glass en D. Truman van Kroll, kan deze fout worden geactiveerd door een kwaadaardig, speciaal gemaakt bestand te openen. Deze kwetsbaarheid, die standaard aanwezig is in vele Linux-distributies en wordt gebruikt door software zoals LibreOffice, GIMP, Inkscape, Scribus, ImageMagick en het CUPS-printsysteem, kan in veel gevallen gemakkelijk worden uitgebuit. Het probleem is gerelateerd aan OS-pijpen en ontstaat door de functie "gp_file_name_reduce()" in Ghostscript. Als er een speciaal ontworpen pad aan deze kwetsbare functie wordt gegeven, kan dit onverwachte resultaten opleveren, leidend tot de overschrijding van de validatiemechanismen en mogelijke exploitatie. Kroll's analisten hebben een Proof of Concept (PoC) ontwikkeld en aangeraden wordt dat Linux-gebruikers upgraden naar de nieuwste versie van Ghostscript, 10.01.2, om zich te beschermen tegen deze dreiging.
Fortinet geeft waarschuwing voor ernstige RCE-fout in FortiOS en FortiProxy apparaten
Fortinet heeft een waarschuwing uitgegeven over een ernstige kwetsbaarheid in hun FortiOS en FortiProxy apparaten, genaamd CVE-2023-33308, die het mogelijk maakt voor externe aanvallers om willekeurige code uit te voeren op kwetsbare systemen. Deze fout, ontdekt door het cybersecuritybedrijf Wachttowr, heeft een CVS v3 beoordeling van 9,8/10 ontvangen, wat het als 'kritiek' classificeert. Deze kwetsbaarheid ontstaat door een overloop in de opslagbuffer, waardoor aanvallers willekeurige code of commando's kunnen uitvoeren via vervalste pakketten die het proxybeleid of het firewallbeleid bereiken met de proxy-modus naast SSL deep packet inspectie. Aanvallers kunnen deze fout uitbuiten door input te sturen die de buffercapaciteit overschrijdt, waardoor ze kritieke geheugenparameters kunnen overschrijven en zo schadelijke code kunnen uitvoeren. Fortinet heeft verduidelijkt dat dit probleem is opgelost in een eerdere release, dus het heeft geen invloed op de nieuwste release-branch, FortiOS 7.4. Fixes voor CVE-2023-33308 zijn geleverd in de volgende versies: FortiOS versie 7.2.4 of hoger, FortiOS versie 7.0.11 of hoger, FortiProxy versie 7.2.3 of hoger, en FortiProxy versie 7.0.10 of hoger. Fortinet raadt gebruikers en beheerders aan om hun software release te controleren en ervoor te zorgen dat ze een veilige versie uitvoeren.
Belangrijk beveiligingslek ongemeld: Fortinet onder vuur
Netwerkbeveiliger Fortinet is vergeten een kritieke kwetsbaarheid in FortiOS/FortiProxy aan klanten te melden. Via het beveiligingslek, aangeduid als CVE-2023-33308, kan een aanvaller firewalls en gateways van Fortinet op afstand overnemen. De impact van de kwetsbaarheid, een stack-based overflow, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Fortinet kwam al in maart met updates voor de kwetsbaarheid, maar heeft het bestaan van het beveiligingslek nooit aan klanten gemeld. Nadat een beveiligingsonderzoeker Fortinet hierop wees is het bedrijf gisteren alsnog met een advisory voor het probleem gekomen. Waarom er in eerste instantie geen advisory werd gepubliceerd laat Fortinet niet weten.
After my @watchtowrcyber blogpost where I got a little bit ranty about Fortiguard not pushing advisories for their security bugs, they seem to be trying to mend their ways with CVE-2023-33308 ! Yay for vendors taking notice, ilu fortiguard!https://t.co/7NARoK93cS
— Aliz (@AlizTheHax0r) July 12, 2023
Microsoft dicht vier kritieke zerodaylekken in Windows en Outlook
Tijdens de patchdinsdag van juli heeft Microsoft vier actief aangevallen zerodaylekken in Windows en Outlook verholpen. De kwetsbaarheid in Outlook (CVE-2023-35311) wordt omschreven als een "security feature bypass" en maakt het mogelijk om een beveiligingsmelding van de e-mailclient te omzeilen. Wanneer gebruikers op een speciaal geprepareerde link klikken kunnen ze door de aanvaller worden gecompromitteerd, aldus Microsoft. Verdere details over de aanvallen zijn echter niet gegeven. Ook de tweede zeroday (CVE-2023-32049) waarvoor Microsoft een patch uitbracht is een security feature bypass, alleen dan in Windows SmartScreen, het beveiligingsfilter van Windows dat bestanden controleert. Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Het zerodaylek zorgt ervoor dat de waarschuwing niet verschijnt. De afgelopen maanden zijn er meerdere van dergelijke kwetsbaarheden in SmartScreen verholpen, die onder andere bij ransomware-aanvallen zijn gebruikt. De andere twee verholpen zerodays, in de Windows Error Reporting Service (CVE-2023-36874) en het Windows MSHTML Platform (CVE-2023-32046), maken "elevation of privilege" mogelijk. Een aanvaller die al toegang tot het systeem van het slachtoffer heeft kan daarmee zijn rechten verhogen en het systeem verder compromitteren. Deze kwetsbaarheden zijn op zichzelf niet voldoende om een systeem mee aan te vallen. In totaal heeft Microsoft deze maand 130 beveiligingslekken verholpen. De updates zullen op de meeste systemen automatisch worden geïnstalleerd. Daarnaast waarschuwde Microsoft voor een actief aangevallen zerodaylek in Office waarvoor nog geen patch beschikbaar is.
Ongepatchte Office Zero-Day Bug Geëxploiteerd tijdens NAVO-Top: Microsoft Brengt Waarschuwing uit
Microsoft heeft op 11 juli 2023 een nog niet gecorrigeerde zero-day beveiligingsfout onthuld, die in het wild werd geëxploiteerd voor het verkrijgen van externe code-uitvoering via kwaadaardige Office-documenten. Deze bug, aangeduid als CVE-2023-36884, kan worden misbruikt zonder dat er gebruikersinteractie nodig is en kan leiden tot totaal verlies van vertrouwelijkheid, beschikbaarheid en integriteit van systemen. De aanvallers kunnen hierdoor toegang krijgen tot gevoelige informatie, systeembescherming uitschakelen en toegang tot het gecompromitteerde systeem ontzeggen. Deze kwetsbaarheid is actief uitgebuit tijdens recente aanvallen op de NAVO-top in Vilnius, Litouwen. Terwijl Microsoft werkt aan patches, raadt het bedrijf klanten aan om Defender for Office te gebruiken en bepaalde aanvalswerende regels in te stellen om phishing-aanvallen die de bug proberen te misbruiken, te weerstaan.
Microsoft's Patch Tuesday van juli 2023 adresseert 132 beveiligingsfouten, inclusief 6 actief uitgebuite zero-day kwetsbaarheden
In de Patch Tuesday van juli 2023 heeft Microsoft beveiligingsupdates uitgebracht voor 132 beveiligingsfouten, waarvan zes actief uitgebuit en 37 gerelateerd aan het uitvoeren van externe code. Hoewel 37 van deze fouten op afstand code konden uitvoeren (RCE-bugs), werden er slechts negen als 'kritiek' beschouwd. Een RCE-fout blijft ongepatcht en wordt momenteel actief uitgebuit door verschillende cyberbeveiligingsbedrijven. Van de 132 fouten waren er 33 privilege-verhogingskwetsbaarheden, 13 beveiligingsfunctie omzeilingskwetsbaarheden, 37 externe code-uitvoeringskwetsbaarheden, 19 informatieverstrekking kwetsbaarheden, 22 weigeringsdienstmissierechten en 7 spoofing-kwetsbaarheden. De Patch Tuesday van deze maand adresseerde ook zes zero-day-kwetsbaarheden, die allemaal actief worden uitgebuit en waarvan één publiekelijk is bekendgemaakt. Er is nog geen oplossing voor deze kwetsbaarheden, die allemaal werden ontdekt door het Microsoft Threat Intelligence Center. Andere updates omvatten onder meer de nieuwe cumulatieve updates voor Windows 11 KB5028185 en Windows 10 KB5028168 en KB5028166. Op dit moment heeft Microsoft geen kwetsbaarheden voor Microsoft Edge opgelost.
Kritieke Kwetsbaarheid in VMware Aria Operations Leidt tot Oproep voor Dringende Beveiligingsupdate
VMware heeft een waarschuwing uitgegeven dat er exploitcode beschikbaar is voor een kritieke kwetsbaarheid in de VMware Aria Operations for Logs-analysetool. Deze tool helpt beheerders bij het beheren van terabytes aan applicatie- en infrastructuurlogboeken in grootschalige omgevingen. De fout, aangeduid als CVE-2023-20864, is een deserialisatiezwakte die in april werd gepatcht. Deze maakt het mogelijk voor niet-geverifieerde aanvallers om op afstand uitvoering te krijgen op niet-gepatchte apparaten. Het bedrijf heeft klanten dringend verzocht deze fout onmiddellijk te patchen. Bovendien heeft VMware in april ook beveiligingsupdates uitgebracht voor een minder ernstige commando-injectie beveiligingslek (CVE-2023-20865), die externe aanvallers met administratieve privileges in staat stelt willekeurige commando's uit te voeren als root op kwetsbare apparaten. Onlangs waarschuwde VMware voor een andere kritieke bug in VMware Aria Operations for Networks (voorheen vRealize Network Insight), wat uitvoering van opdrachten op afstand als de rootgebruiker mogelijk maakt en actief wordt misbruikt bij aanvallen.
Apple reageert snel met noodupdates op actief misbruikte zero-day bug
Apple heeft opnieuw een actief aangevallen zerodaylek in iOS en macOS verholpen. Drie weken geleden kwam het techbedrijf ook al met beveiligingsupdates. Toen ging het echter om drie zerodays. De nieuwste zeroday, aangeduid als CVE-2023-37450, bevindt zich in WebKit, de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Via de kwetsbaarheid in WebKit kan een aanvaller door middel van een drive-by download, waarbij alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van besmette advertenties, willekeurige code op toestellen uitvoeren. Details over de aanvallen zijn niet door Apple gegeven. Het bedrijf werd door een externe beveiligingsonderzoeker op het beveiligingslek gewezen. Voor gebruikers van macOS Big Sur en macOS Monterey is Safari 16.5.2 verschenen. Gebruikers van macOS Ventura 13.4.1 (a) zijn door middel van een Rapid Security Response beschermd en ook voor eigenaren van een iPhone of iPad met iOS 16.5.1 en iPadOS 16.5.1 zijn er Rapid Security Responses verschenen. Rapid Security Responses zijn patches voor actief aangevallen kwetsbaarheden die Apple buiten de normale updates aanbiedt. Daarnaast zullen de betreffende fixes ook onderdeel van de volgende normale software-update zijn. De afgelopen jaren zijn er meerdere zerodays in WebKit gebruikt voor de verspreiding van spyware onder iPhone-gebruikers.
CISA waarschuwt overheidsinstanties voor het patchen van actief misbruikte Android-driver
Het Cybersecurity and Infrastructure Security Agency (CISA) heeft federale instanties opgedragen een ernstige beveiligingsfout in de Arm Mali GPU-kernelstuurprogramma te patchen. Deze kwetsbaarheid, bekend als CVE-2021-29256, wordt actief misbruikt en stelt aanvallers in staat om rootprivileges te verkrijgen of toegang te krijgen tot gevoelige informatie op gerichte Android-apparaten. CISA adviseert gebruikers om te upgraden naar de nieuwste versie van de Bifrost en Walhall GPU Kernel Driver (r30p0) of de Midgard Kernel Driver (r31p0) om het probleem op te lossen. Bovendien heeft Google met de beveiligingsupdates van deze maand twee andere kwetsbaarheden aangepakt die werden uitgebuit bij aanvallen. Federale agentschappen hebben nu drie weken de tijd gekregen om hun Android-apparaten te beveiligen tegen deze kwetsbaarheden. CISA benadrukt het belang van het aanpakken van dergelijke kwetsbaarheden, aangezien ze frequente doelen zijn voor kwaadwillende cyberactoren en aanzienlijke risico's vormen voor zowel federale als particuliere organisaties.
Nieuw Lek in MOVEit Transfer Opent Deur voor Cybercriminelen
Softwareontwikkelaar Progress waarschuwt klanten voor een nieuwe kritieke kwetsbaarheid in MOVEit Transfer waardoor het mogelijk is om databases met gevoelige informatie te stelen. Een soortgelijk lek werd eind mei gebruikt om honderden organisaties wereldwijd aan te vallen, waarbij volgens een beveiligingsonderzoeker de gegevens van 17,5 miljoen personen door criminelen zijn gestolen. MOVEit Transfer is een applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. De criminelen achter de Clop-ransomware gebruikten eind mei een zerodaylek in MOVEit Transfer voor het stelen van allerlei databases met persoonsgegevens. De criminelen dreigen de gestolen data via hun eigen website te publiceren als slachtoffers niet betalen. Naar aanleiding van de aanval zijn meerdere beveiligingsonderzoekers begonnen met het onderzoeken van MOVEit Transfer, wat al tot de ontdekking van meerdere kritieke kwetsbaarheden leidde. De nieuwste kritieke kwetsbaarheid wordt aangeduid als CVE-2023-36934. Het gaat om een SQL Injection-kwetsbaarheid waardoor een ongeauthenticeerde aanvaller de inhoud van de MOVEit-database kan aanpassen en stelen. Progress heeft updates uitgebracht om het probleem te verhelpen en roept klanten op die te installeren. Daarnaast heeft het bedrijf aangekondigd elke twee maanden met een Service Pack te komen die alle fixes en updates van de voorgaande periode bevat. Volgens beveiligingsonderzoeker Brett Callow heeft de Clop-groep eind mei bij 218 organisaties weten toe te slaan en zo de gegevens van 17,5 miljoen personen in handen gekregen.
#MOVEit stats:
— Brett Callow (@BrettCallow) July 7, 2023
Current known victims: 218
Impacted individuals: 17,589,273
2/2
Nieuwe update van Microsoft repareert opnieuw bug in Windows LSA-beveiliging
Microsoft heeft opnieuw een bug opgelost die de Windows-beveiligingswaarschuwingen activeerde waarin stond dat de Local Security Authority (LSA) Protection was uitgeschakeld. Dit probleem deed zich voor op systemen met Windows 11 21H2 en 22H2. Microsoft heeft een nieuwe Defender Antivirus-update uitgebracht om dit probleem aan te pakken, nadat de oorspronkelijke update in mei werd ingetrokken. LSA Protection is een functie die Windows-gebruikers beschermt tegen diefstal van referenties door het blokkeren van de injectie van niet-vertrouwde code in het LSASS.exe-proces. Gebruikers werd aangeraden om de update te installeren om het probleem op te lossen en ervoor te zorgen dat LSA Protection correct functioneert.
Gevaarlijke Linux-kernelfout: StackRot maakt compromitteren van kernel mogelijk
Er is een nieuwe kwetsbaarheid ontdekt in Linux, genaamd StackRot, die privilege-escalatie mogelijk maakt. Deze kwetsbaarheid stelt onbevoorrechte lokale gebruikers in staat om de kernel te compromitteren en hun rechten te verhogen tot root-niveau toegang. Het beveiligingslek treft meerdere versies van de Linux-kernel en kan worden geactiveerd met minimale mogelijkheden. De kwetsbaarheid bevindt zich in het geheugenbeheersubsysteem van de kernel en heeft invloed op Linux-versies 6.1 tot en met 6.4. Een patch is beschikbaar voor de getroffen stabiele kernels en volledige details over het probleem en een exploitcode worden verwacht aan het einde van de maand. Het is belangrijk dat gebruikers controleren welke kernelversie hun Linux-distributie gebruikt en kiezen voor een versie die niet wordt beïnvloed door StackRot of een bijgewerkte release die de fix bevat.
Beveiligingslek in Cisco-switches blijft ongepatcht: versleuteld verkeer kwetsbaar
Een kwetsbaarheid in switches van Cisco maakt het mogelijk voor een aanvaller om versleuteld verkeer te kraken en zo de inhoud te lezen. Het netwerkbedrijf zal echter geen beveiligingsupdates uitbrengen om het probleem te verhelpen, zo blijkt uit het beveiligingsbulletin. Het beveiligingslek (CVE-2023-20185) is aanwezig in Cisco-switches in de 9000-serie. Deze switches kunnen worden gebruikt om verkeer tussen verschillende locaties uit te wisselen. Dit "intersite" verkeer is door middel van de CloudSec encryption feature te versleutelen. Een kwetsbaarheid in deze feature zorgt ervoor dat een ongeauthenticeerde, remote aanvaller het versleutelde verkeer kan lezen of aanpassen. Een aanvaller moet hiervoor wel een man-in-the-middle positie hebben. Het beveiligingslek wordt veroorzaakt door de manier waarop het encryptie-algoritme in de CloudSec encryption feature is geïmplementeerd. Dit maakt het mogelijk om het onderschepte, versleutelde verkeer door middel van crypto-analytische technieken te kraken, aldus Cisco. Het bedrijf kwam gisteren met een waarschuwing voor de kwetsbaarheid, maar zal geen updates uitbrengen. Organisaties worden door Cisco aangeraden om de feature uit te schakelen en contact met hun "supportorganisatie" op te nemen om zo alternatieve opties te evalueren.
Google reageert op actieve aanvallen en verhelpt drie zerodaylekken in Android
Tijdens de patchronde van juli heeft Google drie actief aangevallen zerodaylekken in Android verholpen. Eén van de kwetsbaarheden, aanwezig in het Android System, maakt remote code execution mogelijk. Een aanvaller kan zo op afstand willekeurige code uitvoeren. De impact van dit beveiligingslek, aangeduid als CVE-2023-2136, is echter als high beoordeeld en niet als kritiek. Google geeft dit label voor kwetsbaarheden waarbij een remote aanvaller code alleen in een "unprivileged context" kan uitvoeren. Een aanvaller zou dan bijvoorbeeld via een tweede kwetsbaarheid zijn rechten moeten verhogen om de telefoon volledig over te kunnen nemen. De andere twee zerodaylekken, aangeduid als CVE-2021-29256 en CVE-2023-26083, maken dit mogelijk en zorgen ervoor dat een aanvaller rootrechten kan krijgen. Deze twee beveiligingslekken zijn aanwezig in de kerneldriver van de ARM Mali GPU, de grafische processor van de telefoon. ARM werd door Google over kwetsbaarheid CVE-2023-26083 ingelicht en waarschuwde afgelopen maart zelf al dat aanvallers er misbruik van maken. Google heeft de patches van ARM voor beide beveiligingslekken nu ook in de Android-update verwerkt. Details over de aanvallen waarbij de zerodaylekken zijn gebruikt zijn niet door Google gegeven. Naast de drie zerodaylekken zijn deze maand ook 43 andere kwetsbaarheden in Android verholpen. Twee daarvan zijn als kritiek aangemerkt en één daarvan maakt remote code execution mogelijk, wat inhoudt dat een aanvaller Androidtelefoons op afstand kan overnemen. Het gaat om een kwetsbaarheid aangeduid als CVE-2023-21250, aanwezig in Android System. Google voeg toe dat er geen enkele interactie van gebruikers is vereist om misbruik van de kwetsbaarheid te maken. De tweede kritieke kwetsbaarheid, CVE-2023-21629, is aanwezig in het modem-onderdeel van chipfabrikant Qualcomm. Een aanvaller moet echter al toegang tot de telefoon hebben om misbruik van dit beveiligingslek te maken. Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de juli-updates ontvangen zullen '2023-07-01' of '2023-07-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van juli aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 11, 12, 12L en 13. Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Pacemakergegevens kunnen gewist worden door kritiek lek in ziekenhuissysteem
Een kritieke kwetsbaarheid in een systeem dat ziekenhuizen gebruiken voor het verzamelen van gegevens van pacemakers en andere hartimplantaten maakt het mogelijk voor een aanvaller om verzamelde data te verwijderen, stelen of aan te passen en verdere aanvallen tegen het ziekenhuisnetwerk uit te voeren. Daarvoor waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het beveiligingslek (CVE-2023-31222) bevindt zich in het Medtronic Paceart Optima System, waarmee ziekenhuizen gegevens van de pacemakers en hartimplantaten van patiënten kunnen uitlezen. Het systeem gaat niet goed om met gebruikersinvoer waardoor in het ergste geval remote code execution mogelijk is. Een aanvaller kan zo verzamelde gegevens stelen, verwijderen of manipuleren. Daarnaast zijn verdere aanvallen tegen het ziekenhuisnetwerk mogelijk. De kwetsbaarheid bevindt zich in de Paceart Messaging Service, die niet standaard staat ingeschakeld. Wanneer dit wel het geval is kan een aanvaller door het versturen van een speciaal geprepareerd bericht zijn code op het systeem uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Medtronic heeft een update uitgebracht die de Paceart Messaging Service functie verwijdert en de kwetsbaarheid op de applicatieserver verhelpt.
338.000 FortiGate firewalls kwetsbaar voor misbruik door ontbrekende update
Meer dan 338.000 FortiGate firewalls van fabrikant Fortinet missen een belangrijke beveiligingsupdate voor een kritieke kwetsbaarheid waardoor de apparaten op afstand zijn over te nemen, zo stelt securitybedrijf Bishop Fox op basis van eigen onderzoek. Aanvallers maken inmiddels actief misbruik van het beveiligingslek, zo liet de Amerikaanse overheid onlangs nog weten. He beveiligingslek, aangeduid als CVE-2023-27997, laat een aanvaller door het versturen van speciaal geprepareerde requests willekeurige code en commando's op de apparatuur uitvoeren. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.2. Misbruik is alleen mogelijk wanneer de SSL VPN-interface is ingeschakeld. Bishop Fox deed een scan op internet en detecteerde 490.000 FortiGate firewalls waarvan de SSL VPN-interface vanaf internet toegankelijk is. 338.000 (69 procent) miste de beveiligingsupdate voor CVE-2023-27997. Beheerders worden dan ook opgeroepen om de update te installeren.
We internally developed an #exploit for #CVE-2023-27997, a #heapoverflow in #FortiOS (OS behind #FortiGate firewalls) that allows #RCE. 490,000 affected SSL VPN interfaces are exposed online & about 69% of them are currently unpatched. Patch yours now. https://t.co/sVpn3gz8mS
— Bishop Fox (@bishopfox) June 30, 2023
Top 3 van meest gevaarlijke kwetsbaarheden onveranderd volgens MITRE's recente publicatie
De MITRE Corporation heeft weer de Top 25 van gevaarlijkste kwetsbaarheden gepubliceerd en de top 3 is ten opzichte van vorig jaar onveranderd. Wederom staat "out-of-bounds write" op de eerste plek, gevolgd door cross-site scripting en SQL Injection. MITRE is de organisatie achter het Common Vulnerabilities and Exposures (CVE) systeem om kwetsbaarheden mee te identificeren. De organisatie stelt jaarlijks een Top 25 vast van gevaarlijke kwetsbaarheden die veel in software voorkomen, eenvoudig zijn te vinden en misbruiken, en aanvallers de mogelijkheid geven om systemen volledig over te nemen, data te stelen of een denial of service uit te voeren. Volgens MITRE biedt de Top 25 professionals een praktische en handige bron om risico's te mitigeren. Het gaat dan om programmeurs, testers, gebruikers, projectmanagers en beveiligingsonderzoekers. De Top 25 is gebaseerd op duizenden kwetsbaarheden die in 2021 en 2022 werden gevonden. Vervolgens werd er een scoreformule gebruikt om de ranking van elke kwetsbaarheid te bepalen. Deze formule kijkt hoe vaak de betreffende kwetsbaarheid voorkomt en de beoogde impact wanneer die wordt misbruikt. Dan staat wederom out-of-bounds write bovenaan. Via deze klasse van kwetsbaarheden is het mogelijk voor een aanvaller om een applicatie te laten crashen of code op het systeem uit te voeren. De grootste stijgers dit jaar waren imrproper privilege management, incorrecte autorisatie, ontbrekende autorisatie en Use After Free. Problemen zoals hard-coded wachtwoorden en incorrecte standaardpermissies werden juist minder vaak waargenomen en daalden een aantal plekken in het overzicht.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers