Kwetsbaarheden CVE's
Kwetsbaarheden nieuws
Kwetsbaarheden in 3CX: Technische Details en Beschermingsmaatregelen
Cybersecuritybedrijf CrowdStrike heeft op 30 maart aangegeven een digitale aanval op gebruikers van het softwarepakket 3CX te hebben waargenomen. 3CX is een veelgebruikte en uitgebreide VoIP-softwareoplossing voor bedrijven, die bijvoorbeeld wordt gebruikt door onder andere telefooncentrales. Het NCSC adviseert gebruikers van deze software direct actie te ondernemen.
Wat is er aan de hand?
Het gaat om een supplychain-aanval waarbij mogelijk veel gebruikers van deze software zijn getroffen. In de 3CX Desktop-App voor Windows versie 7 zit een stukje software dat besmet is met malware. 3CX heeft aangegeven dat versie 7 sinds eind maart 2023 per update beschikbaar is. Het softwarebedrijf werkt aan een nieuwe versie waarmee dit probleem moet wordenverholpen. Deze zal zo snel mogelijk beschikbaar wordt gesteld voor gebruikers.
Handelingsperspectief
> 3CX adviseert het softwareprogramma volledig te verwijderen indien versie 7 op het systeem aanwezig is. Wanneer 3CX noodzakelijk is voor een vitaal proces binnen uw organisatie raden zij aan de webapplicatie te gebruiken.
> Het NCSC adviseert organisaties die gebruik maken van 3CX dringend dit advies op te volgen en na het verwijderen van de besmette update grondig onderzoek te doen binnen hun systemen. Onder dit bericht zijn diverse bronnen te vinden met tools, YARA- en Sigmaregels en indicatoren die voor dergelijk onderzoek gebruikt kunnen worden.
> Het NCSC adviseert ook partijen die nog gebruikmaken van een oude versie (versie <7) expliciet ook onderzoek te doen naar mogelijke compromittatie van hun systemen en waakzaam te zijn op signalen van mogelijk misbruik.
Neemt u ICT diensten af via een leverancier?
Wanneer u gebruik maakt van 3CX via een tussenpersoon neem dan zo spoedig mogelijk contact op met uw leverancier.
Bronnen met technische details
Huntress
Valhalla
GitHub
Sentinelone
Bron: ncsc.nl
Microsoft Bing.com-applicatie kwetsbaarheid stelde hackers in staat Office 365-tokens van gebruikers te stelen
Een misconfiguratie van een applicatie van Microsofts Bing.com maakte het mogelijk om zoekresultaten van de zoekmachine aan te passen of kwaadaardige code toe te voegen waarmee de Office 365-tokens van gebruikers waren te stelen, om zo toegang tot privé e-mails en bestanden te krijgen. Dat laat Wiz Research weten, dat het probleem ontdekte en aan Microsoft rapporteerde, dat maatregelen nam en ontwikkelaars oproept om toegang tot hun applicaties goed te configureren. De kwetsbaarheid lag in een verkeerd geconfigureerde Azure Active Directory (AAD), waardoor het mogelijk was om toegang tot verschillende applicaties van Microsoft te krijgen, waaronder het contentmanagementsysteem (cms) van Bing.com. AAD is een cloudgebaseerde identity and access management service waarmee kan worden ingelogd op apps die in Azure App Services of Azure Functions zijn gemaakt. Het gaat hierbij niet alleen om apps die Microsoft zelf heeft ontwikkeld, maar ook de apps van andere organisaties. Azure Active Directory biedt verschillende soorten accounttoegang, waaronder multi-tenant. Hierbij kan elke gebruiker die onderdeel van een Azure tenant is op de betreffende app inloggen. In deze situatie is het belangrijk dat de ontwikkelaar van de app de juiste toegang configureert, omdat anders elke willekeurige Azure-gebruiker op de app kan inloggen. De onderzoekers van Wiz ontdekten tal van multi-tenant apps waar deze toegang niet goed was geconfigureerd. Het ging onder andere om een door Microsoft ontwikkelde applicatie genaamd "Bing Trivia". Door de misconfiguratie konden de onderzoekers met hun eigen Azure-gebruiker op de app inloggen. Vervolgens vonden ze het cms dat voor Bing.com wordt gebruikt. Via dit cms was het mogelijk om de zoekresultaten van Microsofts zoekmachine aan te passen. Daarnaast bleek het mogelijk om malafide code aan de zoekmachine toe te voegen die de Office 365-tokens van gebruikers kan stelen. Met deze tokens is het vervolgens mogelijk om toegang tot e-mails van Outlook.com te krijgen, alsmede kalenders, Teams-berichten, SharePoint-documenten en OneDrive-bestanden. Bing en Office 365 zijn namelijk geïntegreerd. Zo heeft Bing een onderdeel dat gebruikers hun Office 365-data laat doorzoeken. Hiervoor communiceert Bing namens de ingelogde gebruiker met Office 365. Via deze feature bleek het mogelijk om, door het toevoegen van cross-site scripting (XSS) code op Bing.com, het Office 365-token te stelen. Microsoft stelt dat de misconfiguratie een "klein aantal" van de eigen, interne apps raakte. De problemen zijn volgens het techbedrijf verholpen en er is geen misbruik van gemaakt, aldus een uitleg. Verder roept Microsoft beheerders en applicatieontwikkelaars van andere organisaties op om de instellingen van hun multi-tenant applicaties die van Azure Active Directory gebruikmaken te controleren.
Explosie aan datalekken door actief misbruik van zerodaykwetsbaarheid in Fortra GoAnywhere
Een actief misbruikt zerodaylek in Fortra GoAnywhere zorgt op dit moment voor een explosie aan datalekken. Tal van grote organisaties melden dat er gegevens bij hen zijn gestolen. Het gaat onder andere om Procter & Gamble, Hitachi Energy, Investissement Québec, Saks Fifth Avenue, Pluralsight, Rio Tinto, US Wellness, securitybedrijf Rubrik, de grote Amerikaanse zorgorganisatie Community Health Systems (CHS), gokbedrijf Crown Resorts, de Hatch Bank, het Britse Pension Protection Fund, de stad Toronto en zorgverlener Brightline. Deze laatste partij levert therapie aan kinderen en de vrees is dat de gevoelige data van tienduizenden kinderen is buitgemaakt. De aanvallers achter deze aanvallen claimen dat ze bij meer dan honderddertig organisaties hebben toegeslagen. GoAnywhere is een door softwarebedrijf Fortra ontwikkelde oplossing voor het uitwisselen van bestanden. Via een kwetsbaarheid, aangeduid als CVE-2023-0669, is het mogelijk voor een ongeauthenticeerde aanvaller om willekeurige code op het systeem uit te voeren. Voor het uitvoeren van de aanval moet een aanvaller wel eerst toegang tot de beheerdersconsole hebben. De console zou normaliter alleen toegankelijk vanaf het bedrijfsnetwerken, via een vpn of een select aantal ip-adressen moeten zijn. Onderzoekers ontdekten echter dat bij veel organisaties de console voor iedereen gewoon toegankelijk vanaf het internet is. Het beveiligingslek werd al voor dat Fortra een update uitbracht misbruikt. TechCrunch meldt op basis van twee getroffen organisaties dat Fortra klanten vertelde dat hun gegevens niet door de aanvallers waren buitgemaakt. Pas nadat de aanvallers deze getroffen organisaties benaderden ontdekten die dat dit wel het geval was. De aanvallen zijn het werk van de criminelen achter de Clop-ransomware. Die hebben nog niet alle slachtoffers op hun eigen website vermeld. Het is dan ook de verwachting dat de komende dagen nog veel meer organisaties bekend zullen worden.
Apple verhelpt actief aangevallen zerodaylek in oudere iPhones: Kwetsbaarheid in WebKit maakt drive-by downloads mogelijk
Apple heeft een actief aangevallen zerodaylek in iOS eindelijk ook in oudere iPhones verholpen. Anderhalve maand geleden, op 13 februari, kwam Apple al met een beveiligingsupdate voor de nieuwste iOS-versie. Deze versie is echter niet voor alle nog ondersteunde iPhones en iPads beschikbaar. Het gaat dan om oudere modellen, zoals de iPhone 6s, iPhone 7 en iPhone SE. Voor deze telefoons is er nu eindelijk ook een oplossing beschikbaar. De kwetsbaarheid, aangeduid als CVE-2023-23529, is aanwezig in WebKit en laat een aanvaller willekeurige code op het systeem uitvoeren. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is hiervoor voldoende. Dergelijke aanvallen worden ook wel een drive-by download genoemd. Details over de aanvallen zijn niet door Apple gegeven en ook de naam van de onderzoeker die het probleem aan het techbedrijf rapporteerde is niet bekendgemaakt. WebKit is de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Eerder werd het probleem verholpen met iOS 16.3.1 en iPadOS 16.3.1. Voor oudere iPhones en iPads is nu iOS 15.7.4 en iPadOS 15.7.4 verschenen.
Microsoft brengt noodpatch uit voor kwetsbaarheid in Snipping Tool van Windows 11 en Snip & Sketch van Windows 10
Microsoft heeft buiten de maandelijkse patchcyclus om een beveiligingsupdate voor een informatielek in de Snipping Tool van Windows 11 en Snip & Sketch voor Windows 10. Via de kwetsbaarheid is het mogelijk om informatie die in een afbeelding door de gebruiker is verwijderd weer terug te halen. Volgens Microsoft is de impact van de kwetsbaarheid, waardoor gevoelige informatie uit bewerkte screenshots of foto's kan lekken, klein. "Omdat succesvol misbruik ongebruikelijke gebruikersinteractie vereist en verschillende factoren die buiten de controle van de aanvaller liggen", aldus Microsoft. Zo moet een afbeelding waarbij het probleem zich voordoet onder "specifieke omstandigheden" zijn gemaakt. Een gebruiker moet bijvoorbeeld een screenshot maken, deze aanpassen en dan het originele bestand overschrijven met de aangepaste versie. Toch vond Microsoft het nodig om met een noodpatch voor het probleem te komen en niet te wachten op de patchcyclus van april, die op 11 april plaatsvindt.
Kritieke kwetsbaarheden treffen duizenden webwinkels met WooCommerce Payments: dringend updaten aanbevolen
Duizenden webwinkels zijn door een kritieke kwetsbaarheid in WooCommerce Payments over te nemen. De ontwikkelaar heeft inmiddels een beveiligingsupdate uitgebracht, die bij een groot deel van de webshops automatisch wordt geïnstalleerd. WooCommerce is een plug-in om van WordPress-sites een webwinkel te maken. De plug-in is op meer dan vijf miljoen WordPress-sites geïnstalleerd. Voor WooCommerce zijn ook weer allerlei plug-ins beschikbaar, waaronder WooCommerce Payments. Deze plug-in maakt het mogelijk om verschillende soorten betalingen in webwinkels te faciliteren. Meer dan vijfhonderdduizend webshops maken er gebruik van. Een kritieke kwetsbaarheid in versie 5.6.1 en eerder maakt het mogelijk voor een ongeauthenticeerde aanvaller om volledige toegang tot het beheerdersaccount te krijgen en zo de website over te nemen. Dat meldt securitybedrijf Wordfence. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Gisteren verscheen versie 5.6.2 waarin het probleem is verholpen. In de beschrijving wordt alleen gesproken over "security update". Ook Wordfence wil vanwege de impact nog geen details geven. Uit de versiecijfers van WooCommerce Payments blijkt echter dat een groot aantal webshops een kwetsbare versie draait. Beheerders wordt dan ook met klem aangeraden naar de nieuwste versie te updaten.
De update wordt op alle websites die WooCommerce Payments 4.8.0 tot en met 5.6.1 draaien automatisch geinstalleerd, zo meldt de ontwikkelaar.
Microsoft ontwikkelt oplossing voor kwetsbaarheid in Windows 11 snipping tool die informatie kan lekken via verkleinde PNG-screenshots
Microsoft heeft een oplossing ontwikkeld voor het probleem waardoor gevoelige informatie kan lekken via PNG-screenshots die door de snipping tool van Windows 11 zijn verkleind of bewerkt. Dat meldt onderzoeker David Buchanan die eerder deze week het bestaan van het probleem in de snipping tool via Twitter bekendmaakte. Wanneer gebruikers een screenshot bewerken en informatie wegknippen of de afbeelding verkleinen is dat gedeelte niet meer zichtbaar, maar blijft de door de snipping tool weggeknipte informatie in het bestand staan als dat vervolgens wordt opgeslagen en daarmee het origineel overschrijft. Deze informatie is daardoor te herstellen, waardoor het weggeknipte gedeelte weer zichtbaar kan worden gemaakt. Dat blijkt ook uit het feit dat een bewerkt of verkleind screenshot dezelfde grootte heeft als het origineel. Microsoft heeft nu een nieuwe versie van de snipping tool voor testers uitgebracht waarin weggeknipte informatie echt weg is. Het gaat om versie 1.2302.20.0 die via het canary channel verkrijgbaar is. Wanneer de oplossing voor standaardgebruikers beschikbaar komt is nog niet bekend. Microsoft heeft zelf nog geen verdere details over het probleem gegeven.
Snipping tool version 11.2302.20.0 *appears* to fix the bug. This is a canary channel build (not yet available to regular users) but you can manually install it from this link (not recommended unless you know what you're doing)https://t.co/7OTxoiwN8d
— David Buchanan (@David3141593) March 22, 2023
Kwetsbaarheden in Windows Knipprogramma: Gevoelige informatie kan lekken uit bewerkte screenshots
De snipping tool in Windows 11 en de Snip & Sketch tool in Windows 10, in het Nederlands bekend als het knipprogramma, kunnen gevoelige informatie lekken die gebruikers uit screenshots hebben weggeknipt. Eerder werd een dergelijk probleem bij de Markup-tool van Google Pixel-telefoons aangetroffen. Google kwam deze maand met een beveiligingsupdate (CVE-2023-21036) voor Pixel-telefoons. Nu blijkt het probleem ook aanwezig te zijn in twee tools van Windows 10 en 11, zo melden beveiligingsonderzoekers David Buchanan en Chris Blume op Twitter. Wanneer gebruikers een screenshot bewerken en informatie wegknippen of de afbeelding verkleinen is dat gedeelte niet meer zichtbaar, maar blijft de weggeknipte informatie in het bestand staan als dat vervolgens wordt opgeslagen. Deze informatie is daardoor te herstellen, waardoor het weggeknipte gedeelte weer zichtbaar kan worden gemaakt. Iets wat ook zichtbaar is via de bestandseigenschappen, aangezien het aangepaste bestand even groot is als het onbewerkte bestand, meldt onderzoeker Will Dormann. Het probleem doet zich alleen voor bij png-bestanden. Microsoft heeft aangegeven op de hoogte van het probleem te zijn en zal volgens een woordvoerder indien nodig maatregelen nemen.
holy FUCK.
— David Buchanan (@David3141593) March 21, 2023
Windows Snipping Tool is vulnerable to Acropalypse too.
An entirely unrelated codebase.
The same exploit script works with minor changes (the pixel format is RGBA not RGB)
Tested myself on Windows 11 https://t.co/5q2vb6jWOn pic.twitter.com/ovJKPr0x5Y
I've got a fun one for you all to look at.
— Chris Blume (@ProgramMax) March 21, 2023
I opened a 198 byte PNG with Microsoft's Snipping Tool, chose "Save As" to overwrite a different PNG file (no editing), and saves a 4,762 byte file with all that extra after the PNG IEND chunk.
Sounds similar :D
Can confirm.
— Will Dormann (@wdormann) March 21, 2023
Easy test:
1. Copy an image (to have a backup)
2. Open one with Snipping tool
3. Crop it to make it much smaller
4. Click the Save icon
5. Compare file sizes of cropped and original
6. Wonder about the world that you live in https://t.co/2V3totEqw6 pic.twitter.com/g19MTxlzN1
Kwetsbaarheden in de schijnwerpers: Zerodaglekken bij Apple, Google en Microsoft domineren het cyberlandschap
De meeste zerodaylekken die vorig jaar werden gevonden bevonden zich in de software van Apple, Google en Microsoft, zo stelt securitybedrijf Mandiant. Het aantal zerodays in 2022 lag echter lager dan in 2021. Security.NL kwam eind vorig jaar al met een zelfde analyse over de zerodaylekken die dat jaar waren gebruikt bij aanvallen. In totaal telde Mandiant 55 zerodays vorig jaar, waarvan achttien in de software van Microsoft, tien in de software van Google en negen in de software van Apple. Besturingssystemen en browsers waren bij elkaar goed voor dertig van de zerodaylekken. Het gaat hier om kwetsbaarheden waar aanvallers actief misbruik van maken voordat de leverancier een beveiligingsupdate beschikbaar heeft gemaakt. Voor zover mogelijk stelt Mandiant dat de meeste zerodaylekken bij spionageaanvallen werden ingezet. Vier van de kwetsbaarheden hadden voor zover bekend een financieel motief. Naast statelijke actoren die voor de spionageaanvallen verantwoordelijk worden gehouden waren er ook verschillende bedrijven die zerodaylekken te koop aanbieden of producten die hiervan gebruikmaken. Wat betreft de keuze voor Apple, Google en Microsoft laat Mandiant weten dat aanvallers zich vooral op veelgebruikte producten richten omdat een zerodaylek in deze gevallen de meeste toegang oplevert. Aan de andere kant waren ook verschillende nicheproducten doelwit, wat volgens het securitybedrijf aantoont dat aanvallers zich ook richten op de systemen of software waar een specifiek doelwit gebruik van maakt.
Kwetsbaarheden in Samsung Exynos-modems maken Androidtelefoons op afstand over te nemen
In Androidtelefoons die gebruikmaken van een Samsung Exynos-modem bevinden zich meerdere kwetsbaarheden waardoor de toestellen op afstand zijn over te nemen. Een aanvaller hoeft alleen het telefoonnummer van het doelwit te weten, interactie van de gebruiker is niet vereist. Beveiligingsupdates om de problemen te verhelpen zijn niet beschikbaar. Gebruikers die zich willen beschermen worden aangeraden om bellen via wifi en Voice-over-LTE (VoLTE) uit te schakelen. Dat meldt Google. Het Project Zero-team van het techbedrijf ontdekte achttien kwetsbaarheden in Exynos-modems van Samsung. Vier van de achttien kwetsbaarheden maken internet-to-baseband remote code execution mogelijk. Daarbij is het mogelijk om een Androidtelefoon op afstand over te nemen waarbij de aanvaller alleen het telefoonnummer van het doelwit moet weten. Interactie van de gebruiker is niet vereist. Vooralsnog heeft één van de vier kwetsbaarheden een CVE-nummer gekregen, namelijk CVE-2023-24033. "Met beperkt aanvullend onderzoek en ontwikkeling, denken we dat ervaren aanvallers snel een operationele exploit zouden kunnen maken om telefoons in kwestie heimelijk en op afstand over te nemen", zegt Tim Willis van Google Project Zero. Het gaat onder andere om telefoons van Samsung (S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 en A04), Vivo (waaronder de S16, S15, S6, X70, X60 en X30), de Pixel 6 en Pixel 7 van Google, wearables met de Exynos W920-chipset en voertuigen met de Exynos Auto T5123-chipset. Google verwacht dat het verschijnen van beveiligingsupdates per fabrikant verschilt. Voor kwetsbare Pixel-telefoons is CVE-2023-24033 met de patchronde van maart al verholpen. Normaliter maakt Google details over kwetsbaarheden negentig dagen nadat het de fabrikant heeft ingelicht openbaar. Vanwege de impact van de vier kwetsbaarheden en dat aanvallers hier vermoedelijk zeer snel misbruik van kunnen maken heeft Google nu besloten om van het eigen beleid af te wijken en vooralsnog geen details openbaar te maken.
Amerikaanse watersector gewaarschuwd voor beveiligingsupdate Microsoft die communicatie tussen industriële systemen kan stoppen
De Amerikaanse watersector is gewaarschuwd voor een beveiligingsupdate van Microsoft waardoor industriële systemen kunnen stoppen met communiceren. Microsoft kwam op 8 juni 2021 met een beveiligingsupdate voor een kwetsbaarheid in Windows DCOM Server, aangeduid als CVE-2021-26414. Via het beveiligingslek is het mogelijk om de authenticatie te omzeilen. Distributed Component Object Model (DCOM) is een protocol gebruikt voor communicatie tussen software en computers op een netwerk. Veel industriële controlesystemen (ICS) van bedrijven zoals Rockwell Automation, GE, Honeywell en Siemens maken gebruik van DCOM. Als oplossing van de kwetsbaarheid besloot Microsoft om verschillende "hardening changes" voor DCOM door te voeren. Om de impact hiervan te beperken werd besloten de DCOM-update gefaseerd uit te rollen. Bij de eerste fase op 8 juni 2021 stond DCOM hardening standaard uitgeschakeld en konden organisaties die zelf inschakelen. Een jaar later op 14 juni 2022 werd de tweede fase gestart, waarbij de hardening standaard werd ingeschakeld, maar organisaties de optie hadden om die uit te schakelen. De laatste fase vond afgelopen dinsdag plaats en zorgt ervoor dat DCOM hardening wordt ingeschakeld en het niet meer is uit te schakelen. Volgens het Amerikaanse Water Information Sharing and Analysis Center (WaterISAC) kan dit ervoor zorgen dat vitale communicatie tussen industriële systemen stopt. Waterbedrijven die na het installeren van de DCOM-patch van 14 maart 2023 opeens de communicatie tussen hun systemen zien wegvallen moeten er dan ook rekening mee houden dat dit de oorzaak is, aldus het WaterISAC.
Gerichte zeroday-aanvallen op overheden via kwetsbaarheid in Fortinet FortiOS
Een vorige week verholpen kwetsbaarheid in Fortinet FortiOS is al voor het uitkomen van de beveiligingsupdate gebruikt bij zeroday-aanvallen op overheden, zo heeft Fortinet zelf bekendgemaakt. De kwetsbaarheid, aangeduid als CVE-2022-41328, maakt path traversal in execute command mogelijk. Hierdoor kan een aanvaller via command line commando's willekeurige bestanden lezen en schrijven. Fortinet ontdekte het probleem nadat meerdere systemen bij een klant niet meer konden opstarten. Verder onderzoek wees uit dat een aanvaller de firmware-image van het Fortinet-apparaat had aangepast. Via de aanpassing is permanente toegang en controle mogelijk. De apparatuur controleert, wanneer de Federal Information Processing Standards (FIPS staat ingeschakeld, tijdens het opstarten de integriteit van de firmware. Wanneer de integriteitscontrole niet slaagt zal het systeem niet opstarten, wat tot het onderzoek van Fortinet leidde. Op basis van de logbestanden bleek dat de aanvaller misbruik van path traversal maakte. Via de gebruikte exploit was het mogelijk om via een TFTP-server willekeurige bestanden naar het FortiGate-apparaat te uploaden en die vervolgens uit te voeren. Fortinet stelt dat de gebruikte exploit een uitgebreide kennis van FortiOS en de onderliggende hardware suggereert. Daarnaast toont de gebruikte malware dat de aanvaller geavanceerde mogelijkheden heeft, waaronder het reverse engineeren van verschillende onderdelen van FortiOS, zo laat Fortinet verder weten. Het netwerkbedrijf stelt daarnaast dat het om een zeer gerichte aanval tegen specifieke overheden ging. Verdere details over de doelwitten zijn niet gegeven.
Amerikaanse overheidsinstanties gewaarschuwd voor kritieke kwetsbaarheid in Plex Media Server na aanval op LastPass
De Amerikaanse overheid waarschuwt federale overheidsinstanties in het land voor een kritieke kwetsbaarheid in Plex Media Server die bij een aanval op wachtwoordmanager LastPass werd gebruikt. Alle overheidsinstanties moeten de beveiligingsupdate die het probleem verhelpt voor 31 maart hebben geïnstalleerd. Daarnaast wordt ook gewaarschuwd voor actief misbruik van een kwetsbaarheid in XStream waarmee aanvallen op VMware Cloud Foundation mogelijk zijn. Plex biedt software voor het opzetten van een mediaserver om daarmee media te streamen. Het bedrijf claimt meer dan 25 miljoen gebruikers wereldwijd. LastPass meldde laatst dat een zeer gevoelig incident waarbij klant- en kluisdata werden gestolen mede plaatsvond via de thuiscomputer van een DevOps-engineer. Deze computer raakte via een kwetsbaarheid in een "third-party media software package", waardoor remote code execution mogelijk was, besmet met malware. Een aanvaller kon via het beveiligingslek een keylogger op de thuiscomputer van de engineer installeren en zijn master password stelen. Zo kreeg de aanvaller toegang tot de zakelijke LastPass-kluis van de DevOps-engineer. Vervolgens kon de aanvaller de inhoud van de LastPass-kluis stelen, waaronder notities met access en decryptiesleutels om toegang tot de AWS S3 LastPass productieback-ups en andere kritieke databaseback-ups van LastPass te krijgen. De "media software" in kwestie bleek Plex te zijn. Plex meldde vervolgens dat de gebruikte kwetsbaarheid CVE-2020-5741 was. Via dit beveiligingslek kan een aanvaller met toegang tot het beheerdersaccount van de Plex-server via de camera-uploadfeature een kwaadaardig bestand op de server uitvoeren. Het beveiligingslek werd begin mei 2020 door Plex via een beveiligingsupdate verholpen. Volgens Plex heeft de betreffende DevOps-engineer van LastPass de update nooit geïnstalleerd en drie jaar lang een kwetsbare versie van de software gedraaid. Hoe de aanvaller het Plex-beheerderswachtwoord van de LastPass-medewerker in handen heeft gekregen is niet bekend. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden en heeft daar nu ook het Plex-lek op geplaatst. Het is de eerste kwetsbaarheid in Plex die op de lijst verschijnt. Daarnaast is het overzicht ook aangevuld met CVE-2021-39144, een kwetsbaarheid in XStream waardoor remote code execution in onder andere VMware Cloud Foundation mogelijk is. Onlangs werd bekend dat aanvallers ook van dit lek misbruik maken. Het CISA kan federale overheidsinstanties verplichten om updates voor kwetsbaarheden die op de lijst staan voor een bepaalde datum te patchen.
Kritiek lek in IBM Aspera Faspex gebruikt voor ransomware-aanvallen
Een kritieke kwetsbaarheid in IBM Aspera Faspex wordt gebruikt voor aanvallen met een Linux-versie van de IceFire-ransomware, zo stelt securitybedrijf SentinelOne. Onlangs waarschuwde ook het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) voor actief misbruik van het beveiligingslek in IBM Aspera Faspex. Aspera Faspex is een webapplicatie voor het uitwisselen van bestanden en draait op een Aspera-server. Op 26 januari kwam IBM met een beveiligingsupdate voor een kritieke kwetsbaarheid in Aspera Faspex, aangeduid als CVE-2022-47986. Door een speciaal geprepareerde API-call te versturen kan een aanvaller willekeurige code op het systeem uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 13 februari meldde de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, dat aanvallers misbruik van de kwetsbaarheid maken. De eerste gedetecteerde aanvalspogingen bleken van 3 februari te dateren, een week na het uitkomen van de beveiligingsupdate. Eerder stelde beveiligingsonderzoeker Raphael Mendonca ook al het dat het lek wordt gebruikt voor ransomware-aanvallen op kwetsbare servers. Volgens SentinelOne hebben de criminelen achter de IceFire-ransomware, die het eerst alleen op Windows hadden voorzien, het nu ook op Linux gemunt en gebruiken ze daarbij het Aspera Faspex-lek. Bij de waargenomen aanvallen werden CentOS-systemen gecompromitteerd die een kwetsbare versie van IBM Aspera Faspex draaiden. Vervolgens werden allerlei bestanden op het systeem versleuteld. De onderzoekers merken op dat de ransomware op Linux niet alle bestanden versleutelt. Bepaalde paden worden vermeden, zodat belangrijke onderdelen van het systeem operationeel blijven.
Wachtwoorden in Bitwarden wachtwoordmanager kunnen door autofill feature en iframes worden gestolen, zegt securitybedrijf Flashpoint
Wachtwoorden die in wachtwoordmanager Bitwarden zijn opgeslagen kunnen door een combinatie van de autofill feature en iframes door websites worden gestolen. Het probleem werd voor het eerst in november 2018 aan Bitwarden gemeld (pdf). Onlangs deed ook securitybedrijf Flashpoint dat. Bitwarden heeft aangegeven alleen voor een specifieke hostingprovider met een oplossing te komen. Daarnaast staat de autofill feature volgens de wachtwoordmanager standaard uitgeschakeld. De browser-extensie van Bitwarden kan opgeslagen inloggegevens voor websites invullen wanneer een gebruiker die bezoekt. Standaard zal het gebruikers hier om vragen. Bitwarden biedt echter ook de optie "auto-fill on page load", waarbij inloggegevens automatisch worden ingevuld. Op de eigen website waarschuwt de wachtwoordmanager dat deze feature standaard staat uitgeschakeld, omdat gecompromitteerde of kwaadaardige websites via de feature inloggegevens kunnen stelen. Een ander probleem volgens Flashpoint is dat Bitwarden alleen naar de domeinnaam kijkt om het automatisch invullen van wachtwoorden aan te bieden. Bitwarden zal dit daardoor ook bij een subdomein doen. Volgens het securitybedrijf is dit een probleem wanneer een bedrijf via bijvoorbeeld login.company.tld gebruikers laat inloggen, maar gebruikers via user.company.tld de mogelijkheid biedt om hun eigen content te hosten. Een aanvaller zou zo via user.company.tld inloggegevens voor login.company.tld kunnen stelen. Flashpoint beschrijft twee methodes hoe aanvallers van de werking van de browser-extensie misbruik kunnen maken. Als eerste wanneer een website een externe iframe plaatst waarover de aanvaller controle heeft én de gebruiker auto-fill on page load heeft ingeschakeld. De tweede optie is dat een aanvaller zijn content op een subdomein host, bijvoorbeeld van een hostingprovider, en dat de provider het inlogvenster voor gebruikers onder dezelfde domeinnaam draait. Het securitybedrijf stelt dat het deze laatste optie bij verschillende grote webservices heeft aangetroffen. Een ander punt dat Flashpoint opmerkt is dat wanneer auto-fill on page load staat ingeschakeld, er geen interactie van gebruikers is vereist voor het stelen van inloggegevens. Wanneer een gebruiker zijn gegevens via het contextmenu laat invullen, worden ook inlogformulieren in iframes ingevuld. Flashpoint waarschuwde Bitwarden, maar dat stelde dat het sinds 2018 van dit probleem weet en bewust heeft gekozen om het niet te verhelpen. Dit vanwege de manier waarop autofill werkt en dat de wachtwoordmanager geen inloggegevens zonder toestemming van gebruikers invult, tenzij ze zelf auto-fill on page load hebben ingeschakeld. Vervolgens kwam het securitybedrijf met een demonstratie hoe de aanvalsvector is te gebruiken om inloggegevens bij een bekende hostingprovider te stelen. Daarop liet Bitwarden weten dat het de betreffende hostingomgeving van de autofill feature gaat uitzonderen. De werking van iframes laat de wachtwoordmanager ongemoeid. "Het prioriteren van hun use-case over security en de reactie op ons rapport is zorgwekkend en organisaties moeten zich bewust zijn van de securityzorgen in het product", aldus Flashpoint. Dat voegt toe dat andere wachtwoordmanagers geen autofill bij iframes toepassen. In twee CVE-nummers van de kwetsbaarheid ontkentBitwarden dat het om een beveiligingslek gaat.
Fortinet waarschuwt voor kritieke kwetsbaarheid in FortiOS en FortiProxy waardoor remote code execution mogelijk is
Netwerkfabrikant Fortinet waarschuwt organisaties voor een kritieke kwetsbaarheid in FortiOS en FortiProxy waardoor remote code execution mogelijk is en aanvallers apparaten op afstand kunnen overnemen. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en switches. FortiProxy is een gateway die het verkeer van gebruikers op dreigingen monitort. Een kwetsbaarheid in de webinterface van zowel FortiOS als FortiProxy maakt het mogelijk voor een ongeauthenticeerde aanvaller om een buffer underwrite te veroorzaken en zo willekeurige code op het apparaat uit te voeren. De impact van het beveiligingslek (CVE-2023-25610) is op een schaal van 1 tot en met 10 beoordeeld met een 9.3. Fortinet stelt dat bij verschillende apparaten de kwetsbaarheid alleen tot een denial of service kan leiden. Onlangs werd een andere kwetsbaarheid in de software van Fortinet kort na het uitkomen van de beveiligingsupdate actief misbruikt bij aanvallen en ook FortiOS is in het verleden geregeld het doelwit van aanvallers geweest. Organisaties worden dan ook opgeroepen de beveiligingsupdate te installeren. Als workaround kan de webinterface worden uitgeschakeld of het aantal ip-adressen dat toegang tot de beheerdersinterface heeft te beperken.
Kritieke kwetsbaarheid in populaire Home Assistant-software stelt ongeautoriseerde toegang op afstand mogelijk
Een kritieke kwetsbaarheid in Home Assistant, populaire software voor domotica, maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand toegang tot installaties te krijgen. De impact van de kwetsbaarheid, aangeduid als CVE-2023-27482, is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. De ontwikkelaars hebben een update uitgebracht die het probleem verhelpt. Home Assistant is een opensource-controlesysteem voor smart home devices, met een focus op lokaal beheer en privacy. Het is te gebruiken via een webinterface, smartphone-app of stemopdrachten voor spraakassistenten zoals Google Assistant or Amazon Alexa. Kwetsbaarheid CVE-2023-27482 maakt het mogelijk voor een remote aanvaller om de authenticatie te omzeilen en direct de Supervisor API van Home Assistant benaderen. Een aanvaller kan vervolgens updates installeren en add-ons en back-ups beheren. Het probleem is aanwezig in Home Assistant OS en Home Assistant Supervised. Het gaat ook om installaties die op Home Assistant Blue en Home Assistant Yellow draaien. De kwetsbaarheid is verholpen in Home Assistant 2023.3.0. Deze versie verscheen op 1 maart en is sindsdien door een derde van de gebruikers geïnstalleerd, aldus Home Assistant. Gebruikers die een kwetsbare versie draaien wordt aangeraden te updaten of anders hun Home Assistance-installatie niet toegankelijk vanaf internet te maken. Er zijn ruim 231.000 installaties van Home Assistance actief.
Actief misbruik van lekken in Apache Spark, ManageEngine en GLPi
Aanvallers maken actief misbruik van kwetsbaarheden in Zoho ManageEngine ADSelfService Plus, Apache Spark en Teclib GLPi, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security. Amerikaanse overheidsinstanties zijn opgedragen om de kwetsbaarheden voor 28 maart te patchen. Apache Spark is software voor grootschalige dataverwerking. Een kwetsbaarheid in het product, aangeduid als CVE-2022-33891, maakt command injection mogelijk. Volgens de Shadowserver Foundation wordt er al sinds 26 juli vorig jaar misbruik van het beveiligingslek gemaakt. De kwetsbaarheid in Zoho ManageEngine ADSelfService Plus maakt remote code execution mogelijk bij het uitvoeren van een wachtwoordreset. ManageEngine ADSelfService Plus is een self-service password management en single sign-on oplossing voor Active Directory en cloud-apps. Het stelt gebruikers onder andere in staat om zelf hun wachtwoord te resetten. De derde kwetsbaarheid waarvoor het CISA waarschuwt is aanwezig in Teclib GLPi. Dit is een open source "IT Asset Management" oplossing waarmee organisaties it-systemen kunnen beheren en support aan gebruikers bieden. Een library waar GLPi gebruik van maakt bevat een kwetsbaarheid (CVE-2022-35914) waardoor remote code execution mogelijk is. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Eerder liet ook de Franse overheid weten dat aanvallers misbruik van het betreffende lek maken.
Androidtelefoons door middel van kritieke lekken op afstand over te nemen
Google waarschuwt eigenaren van een Androidtelefoon voor kritieke kwetsbaarheden waardoor remote code execution zonder enige interactie van gebruikers mogelijk is. De beveiligingslekken, aangeduid als CVE-2023-20951 en CVE-2023-20954, zijn aanwezig in Android System. Google geeft geen verdere details over de problemen, behalve dat er voor Android 11, 12, 12L en 13 updates zijn verschenen. In totaal heeft Google met de patchronde van maart zestig kwetsbaarheden verholpen. Het gaat zowel om beveiligingslekken die direct in de Androidcode aanwezig zijn, als in de software van andere partijen waar Android gebruik van maakt. Naast de twee kritieke kwetsbaarheden in Android System gaat het ook om twee beveiligingslekken in onderdelen van chipfabrikant Qualcomm die ook op afstand zijn te misbruiken. Het gaat als eerste om een lek in de datamodem, aangeduid als CVE-2022-33213. Door het versturen van een speciaal geprepareerd PPP-pakket kan er een buffer overflow ontstaan. De tweede kwetsbaarheid (CVE-2022-33256) is aanwezig in de multi-mode call processor en kan tot memory corruption leiden. De impact van dit beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de maart-updates ontvangen zullen '2023-03-01' of '2023-03-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van maart aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 11, 12, 12L en 13. Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Proof-of-concept exploit gepubliceerd voor kritieke kwetsbaarheid in Microsoft Word met remote code execution mogelijkheid
Een beveiligingsonderzoeker heeft een proof-of-concept exploit gepubliceerd voor een kritieke kwetsbaarheid in Microsoft Word. Via het beveiligingslek is remote code execution mogelijk, waardoor in het ergste geval het systeem kan worden overgenomen. Het laden van een malafide document via de preview pane (voorbeeldvenster) is al voldoende, wat inhoudt dat er weinig gebruikersinteractie vereist is. De impact van de kwetsbaarheid, aangeduid als CVE-2023-21716, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Microsoft kwam vorige maand met beveiligingsupdates voor de kwetsbaarheid, die door beveiligingsonderzoeker Joshua Drake werd gerapporteerd. Het techbedrijf adviseerde ook als workaround om geen rtf-bestanden van onbetrouwbare of onbekende bronnen te openen en e-mailberichten in plain text te lezen. Microsoft stelde verder dat de kans op misbruik van de kwetsbaarheid "minder waarschijnlijk" is. Dit weekend publiceerde Drake een proof-of-concept exploit voor het door hem ontdekte beveiligingslek. Die blijkt ook gepatchte versies van Microsoft Word te kunnen laten crashen, aldus onderzoeker Will Dormann. Tevens laat Raj Samani van securitybedrijf Rapid7 weten dat er inmiddels ook misbruik van de kwetsbaarheid wordt gemaakt, maar hier zijn nog geen verdere meldingen over.
CVE-2023-21716 Python PoC (take 2) open("t3zt.rtf","wb").write(("{\\rtf1{\n{\\fonttbl" + "".join([ ("{\\f%dA;}\n" % i) for i in range(0,32761) ]) + "}\n{\\rtlch no crash??}\n}}\n").encode('utf-8'))
— Joshua J. Drake (@jduck) March 5, 2023
Weird that this PoC still crashes Office for Mac Version 16.70 (Build 23021201), which reportedly has the fix for CVE-2023-21716, huh?
— Will Dormann (@wdormann) March 7, 2023
🤔 https://t.co/hKOiUVU58U pic.twitter.com/7K4r8qO2hL
Update on CVE-2023-21716 now included in @AttackerKb - Microsoft Word Remote Code Execution Vulnerability reported as exploited in the wild:https://t.co/mvFLMmQT4G #infosec pic.twitter.com/NAsuKxpIeD
— Raj Samani (@Raj_Samani) March 6, 2023
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers