Analyse van kwetsbaarheden op het gebied van cyberbeveiliging oktober 2024
Reading in 🇬🇧 or another language
"HET ONZICHTBARE ZICHTBAAR MAKEN"
QNAP, een vooraanstaande fabrikant van netwerkopslagapparaten, heeft onlangs drie kritieke beveiligingslekken in zijn NAS-softwarepakket onthuld. Deze kwetsbaarheden, aangeduid met de CVE-codes CVE-2024-32764, CVE-2024-32766 en CVE-2024-27124, vormen een ernstig risico voor de gebruikers van deze apparaten. De ernstigste van deze, met een CVSS-score van 10, betreft een OS-commando-injectie waardoor aanvallers kwaadaardige commando's kunnen uitvoeren op de systemen, wat kan leiden tot gegevensdiefstal of zelfs volledige overname van het apparaat. Een andere kwetsbaarheid maakt onbevoegde toegang mogelijk tot essentiële functies via de myQNAPcloud Link-service. Gezien het potentieel voor ernstige schade, waaronder ransomware-aanvallen en het gebruik van de NAS-apparaten als lanceerplatform voor verdere aanvallen binnen een netwerk, heeft QNAP een dringende oproep gedaan aan zijn gebruikers om hun systemen onmiddellijk bij te werken met de nieuwste beveiligingspatches. Gebruikers wordt aangeraden om sterke, unieke wachtwoorden te hanteren, regelmatig software-updates uit te voeren, directe internetverbindingen te vermijden en regelmatige back-ups van belangrijke gegevens te maken om hun apparaten te beschermen tegen deze en toekomstige kwetsbaarheden. [securityonline]
Een aanzienlijk aantal beheerders van CrushFTP-servers heeft nog niet de nodige updates geïnstalleerd om een ernstige kwetsbaarheid aan te pakken, die actief wordt uitgebuit door cybercriminelen. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om het systeem volledig over te nemen. Oorspronkelijk werd gedacht dat het lek enkel het lezen van bestanden toeliet, maar recente bevindingen van het beveiligingsbedrijf Rapid7 wijzen uit dat het lek ook de authenticatie voor admin-accounts kan omzeilen en volledige remote code execution mogelijk maakt. De fabrikanten van CrushFTP hadden vorige week een zerodaylek aangekondigd, maar op het moment van de eerste aanvallen was er nog geen patch beschikbaar. Inmiddels is er wel een update uitgebracht, echter veel servers zijn nog steeds kwetsbaar. Volgens een rapport van The Shadowserver Foundation waren er op 24 april nog minstens 1400 kwetsbare servers, terwijl er wereldwijd ongeveer 2400 CrushFTP-servers in gebruik zijn. Vooral in de Verenigde Staten bevinden zich de meeste van deze nog steeds kwetsbare systemen, maar ook in Nederland zijn er ongeveer vijftig geteld. [rapid7, shadowserver, censys]
Microsoft heeft aangekondigd stappen te ondernemen om kwetsbare Windows bootmanagers terug te trekken. Dit plan is ontwikkeld in reactie op de bedreigingen door de BlackLotus-malware, die veiligheidsmechanismen zoals UEFI Secure Boot kan omzeilen. Door deze kwetsbaarheid kunnen malafide bestanden in de EFI-systeempartitie worden geplaatst, waardoor zelfs na een herinstallatie van het besturingssysteem de malware actief blijft. Als reactie hierop zal Microsoft de certificaatautoriteit voor de Microsoft Windows Production PCA uit 2011 intrekken, wat via een DBX-update zal gebeuren. Dit kan echter leiden tot problemen bij het opstarten van systemen waar de update nog niet is toegepast, vooral bij netwerkboots via PXE. Microsoft heeft een plan gepubliceerd om organisaties te helpen bij het beheren van de overgang. [microsoft]
Een kritieke beveiligingslek in Progress Flowmon, een netwerkprestatie- en zichtbaarheidstool, heeft de maximale ernstscore van 10 ontvangen. Het lek, geïdentificeerd als CVE-2024-2389, werd ontdekt door Rhino Security Labs en stelt aanvallers in staat om op afstand ongeautoriseerde commando’s uit te voeren via een speciaal vervaardigde API-aanvraag. Dit kan hen toegang geven tot de Flowmon webinterface om willekeurige systeemcommando’s uit te voeren. De kwetsbaarheid beïnvloedt versies v12.x en v11.x van het product, waarbij meer dan 1.500 bedrijven wereldwijd gebruikmaken van deze tool. Progress Software heeft updates uitgerold voor de betrokken versies en adviseert gebruikers dringend deze patches toe te passen om verdere exploitatie te voorkomen. [rhinosecuritylabs]
Progress Flowmon is een tool voor netwerkbewaking en -analyse die wordt gebruikt om de prestaties van netwerken te verbeteren door inzicht te bieden in het dataverkeer en netwerkgedrag. Deze tool helpt organisaties bij het opsporen en diagnosticeren van netwerkproblemen, zoals vertragingen, storingen en beveiligingsinbreuken. In Nederland wordt Progress Flowmon, net als in veel andere landen, gebruikt door bedrijven en instellingen die afhankelijk zijn van robuuste netwerkinfrastructuur voor hun dagelijkse operaties. Dit maakt het een belangrijk instrument voor netwerkbeheerders en IT-beveiligingsteams.
Google heeft vandaag een ernstig beveiligingsprobleem in hun Chrome-browser aangepakt, dat aanvallers de mogelijkheid gaf om kwaadaardige code uit te voeren op het apparaat van een gebruiker. Dit lek, geïdentificeerd als een 'zero-day' kwetsbaarheid, was actief uitgebuit voordat de reparatie werd doorgevoerd. De kwetsbaarheid bevond zich in de V8 JavaScript-engine van Chrome en maakte het mogelijk voor aanvallers om hun code uit te voeren door het misbruiken van een memory corruption fout. Google heeft snel gereageerd door een update uit te brengen die dit probleem aanpakt. Gebruikers worden aangemoedigd om hun browser onmiddellijk bij te werken om zichzelf te beschermen tegen mogelijke aanvallen die gebruik maken van dit lek. De update is inmiddels beschikbaar en Google heeft details over de kwetsbaarheid en de fix gepubliceerd, nadat de meerderheid van de gebruikers de update heeft geïnstalleerd. Dit incident benadrukt het belang van het regelmatig bijwerken van software om de veiligheid van gebruikersgegevens te waarborgen. [chromereleases, support.google]
Microsoft heeft in april 2024 hotfixes uitgebracht voor problemen die zijn ontstaan na de security updates van maart 2024 voor Exchange-servers. Deze optionele update biedt ondersteuning voor ECC-certificaten en Hybrid Modern Authentication voor OWA/ECP. De hotfixes zijn beschikbaar voor Exchange Server 2019 (CU13 en CU14) en Exchange Server 2016 (CU23). De issues die zijn aangepakt, omvatten problemen met het downloaden van domeinen, weergave van inline afbeeldingen in Outlook op het web, en fouten bij het openen van documenten. Microsoft blijft werken aan andere bekende problemen, waaronder een fout die het printen van kalenders in OWA beïnvloedt. [microsoft, exchange-team]
Recent onderzoek van CitizenLab heeft onthuld dat meerdere populaire Chinese keyboard-apps, gebruikt door ongeveer een miljard mensen wereldwijd, ernstige veiligheidslekken bevatten. Deze lekken stellen mogelijk derden in staat om toetsaanslagen van gebruikers af te luisteren. De betrokken apps, ontwikkeld door grote technologiebedrijven zoals Baidu, Huawei, en Tencent, zijn ontworpen voor verschillende besturingssystemen waaronder Android, iOS, en Windows. Onderzoekers ontdekten dat deze apps de toetsaanslagen van gebruikers onveilig naar cloudservers verzonden, waardoor internetproviders of personen op hetzelfde netwerk de informatie konden onderscheppen. De kwetsbaarheden werden voornamelijk veroorzaakt door inadequate encryptiemethoden die afweken van gevestigde beveiligingsstandaarden. Hoewel de meeste fabrikanten na de melding van deze problemen maatregelen hebben genomen om de lekken te dichten, zijn sommige apps nog steeds kwetsbaar. Dit blijft een zorg, vooral voor toestellen die niet regelmatig updates ontvangen, waardoor gebruikers mogelijk blootgesteld worden aan massasurveillance. Dit incident benadrukt de risico's van custom encryptie oplossingen en het belang van het volgen van bewezen beveiligingsprotocollen. Gebruikers van de getroffen apps worden aangeraden over te stappen naar veiligere alternatieven en cloudgebaseerde functies waar mogelijk te vermijden. [citizenlab]
Ongeveer tien procent van de firewalls geproduceerd door Palo Alto Networks heeft geen adequate bescherming tegen bepaalde cyberaanvallen. Dit probleem kwam aan het licht door recent onderzoek, waarbij geconstateerd werd dat een significant deel van de apparaten kwetsbaar is voor specifieke exploits. Deze kwetsbaarheden kunnen cybercriminelen de mogelijkheid bieden om toegang te krijgen tot bedrijfsnetwerken en gevoelige informatie te compromitteren. Het onderzoek benadrukt het belang van regelmatige updates en patches die essentieel zijn voor de bescherming tegen deze veiligheidsrisico's. Veel van de getroffen apparaten bevinden zich in kritieke infrastructuren en industrieën waar beveiliging van cruciaal belang is. Palo Alto Networks heeft reeds gereageerd op de bevindingen en werkt aan het verstrekken van de benodigde patches om deze kwetsbaarheden te verhelpen. Deskundigen adviseren alle gebruikers van dergelijke netwerkapparatuur om hun systemen up-to-date te houden en regelmatig veiligheidsaudits uit te voeren. [paloaltonetworks]
Attention: Now sharing Palo Alto GlobalProtect instances that we tag as CVE-2024-3400 vulnerable (without the "possible-" prefix). Scanning based on confirming existence of files left behind by exploits.
— Shadowserver (@Shadowserver) April 21, 2024
6634 vulnerable IPs found on 2024-04-20: https://t.co/sOZAud75PO https://t.co/aXj4fSLLIA pic.twitter.com/xlvqnSWqN1
Het National Institute of Standards and Technology (NIST) kampt met significante vertragingen in het bijwerken van hun National Vulnerability Database (NVD). Deze database, cruciaal voor de registratie van bekende kwetsbaarheden in software, loopt achter met het verwerken van meldingen. Normaal gesproken worden nieuwe kwetsbaarheden, aangeduid met een CVE-nummer, snel na ontdekking in de database opgenomen. Echter, door een toename in het aantal meldingen en beperkte verwerkingscapaciteit is er een achterstand ontstaan. Deze vertraging kan ernstige gevolgen hebben voor de cyberveiligheid. Zonder actuele informatie kunnen bedrijven en individuen niet adequaat reageren op nieuwe bedreigingen, wat het risico op cyberaanvallen verhoogt. Het probleem benadrukt het belang van adequate financiering en resources voor onderhoud van dergelijke essentiële databases. Daarnaast wordt aangedrongen op het verbeteren van de verwerkingssnelheid en efficiëntie bij NIST om de veiligheid van digitale systemen te waarborgen. [nist, talosintelligence]
Update correctie 22-04-2024 - 15:30 met dank aan oplettende lezer :) Dank Huub R. van ING
Een ernstig beveiligingslek is ontdekt in de Forminator-plugin, die veel gebruikt wordt op WordPress-sites voor het maken van formulieren. Dit lek, stelt aanvallers in staat om willekeurige code uit te voeren op de websites die de plugin geïnstalleerd hebben. De kwetsbaarheid betreft specifiek een probleem met de wijze waarop de plugin externe invoer verwerkt, waardoor ongeautoriseerde gebruikers kwaadaardige scripts kunnen injecteren. De impact van dit lek is aanzienlijk, gezien de plugin meer dan 300.000 keer is geïnstalleerd. Een succesvolle exploitatie kan leiden tot het overnemen van de getroffen websites, datalekken, en andere schadelijke activiteiten. Het is bekend dat er actief naar kwetsbare websites wordt gezocht door cybercriminelen. Websitebeheerders wordt dringend aangeraden om de plugin zo snel mogelijk te updaten naar de nieuwste versie, waarin het probleem verholpen is. Het updaten van de software is essentieel om bescherming tegen dit type cyberaanvallen te waarborgen. [jvn, wordpress]
WordPress Plugin "Forminator" geleverd door WPMU DEV bevat meerdere onderstaande kwetsbaarheden.
Google's Project Zero-team heeft bij een diepgaand onderzoek naar de Windows Registry vijftig kwetsbaarheden in de Windows-kernel ontdekt. De onderzoekers hebben zich gericht op lokale privilege escalatie bugs, waarbij een aanvaller zijn rechten binnen het systeem kan verhogen. Van de ontdekte kwetsbaarheden waren achttien eenvoudig te misbruiken. De gemiddelde tijd voor Microsoft om de problemen op te lossen na melding bedroeg 81 dagen. Dit onderzoek, geleid door Mateusz Jurczyk, benadrukt de complexiteit en groei van het registerdeel van de Windows-kernel, die van 10.000 regels code in Windows NT 4.0 naar ongeveer 100.000 regels in Windows 11 is gestegen. [googleprojectzero]
Cisco heeft een ernstige kwetsbaarheid in de Integrated Management Controller (IMC) openbaar gemaakt, waarbij al exploitatiecode beschikbaar is. Deze kwetsbaarheid, bekend als CVE-2024-20295, maakt het mogelijk voor lokale aanvallers met basisgebruikersrechten om hun privileges te verhogen naar root-niveau door middel van commando-injectie. Dit risico betreft vooral Cisco-apparaten zoals de 5000 Series ENCS, Catalyst 8300 Series, en UCS C- en E-Series Servers, die kwetsbaar blijken in hun standaardconfiguraties. Cisco heeft al beveiligingspatches uitgebracht en benadrukt dat hoewel de exploit code openbaar is, er nog geen actieve aanvallen zijn gemeld die gebruik maken van deze kwetsbaarheid. [cisco]
Oracle heeft recent een omvangrijke update uitgerold bestaande uit 441 patches gericht op het verhelpen van verschillende kritieke kwetsbaarheden binnen haar softwareproducten. Deze patches zijn essentieel voor het versterken van de beveiliging en het adresseren van beveiligingslekken die aanvallers kunnen exploiteren om ongeautoriseerde toegang te verkrijgen of systemen te compromitteren. De kwetsbaarheden bevinden zich in diverse Oracle-producten, waaronder Oracle Database Server, Fusion Middleware en E-Business Suite, die breed worden ingezet binnen de zakelijke markt. Het bedrijf benadrukt het belang van deze updates en adviseert klanten met klem om de patches tijdig te implementeren om potentiële risico's en beveiligingsincidenten te minimaliseren. De update toont Oracle's voortdurende inzet om de veiligheid van haar producten te waarborgen en de bescherming tegen cyberdreigingen te versterken. [oracle]
Ivanti heeft recent kritieke kwetsbaarheden ontdekt in haar Avalanche Mobile Device Management (MDM) oplossing, die wijdverbreid gebruikt wordt voor het beheren van mobiele apparaten binnen organisaties. Deze beveiligingslekken kunnen cybercriminelen de mogelijkheid bieden om ongeautoriseerde toegang te verkrijgen tot bedrijfsnetwerken en gevoelige informatie. Ivanti heeft de kwetsbaarheden geïdentificeerd als ernstig genoeg om snel te handelen en raadt alle gebruikers aan om de nieuwste updates zo spoedig mogelijk te installeren. De kwetsbaarheden, gevonden in verschillende componenten van de software, stellen aanvallers in staat om willekeurige code uit te voeren, systeeminstellingen te wijzigen, of toegang te krijgen tot beheerdersrechten zonder de juiste authenticatie. Ivanti benadrukt het belang van deze update, gezien de potentieel verregaande gevolgen van misbruik van deze lekken. Gebruikers worden dringend geadviseerd om hun systemen te updaten om zo de beveiliging van hun mobiele apparaten en de bedrijfsgegevens die zij beheren, te waarborgen. [ivanti (update 16-4-2024)]
In maart 2021 ontdekte Matt Brown, een senior systeemontwikkelaar bij Amazon Web Services, een ernstige beveiligingsfout in de smart locks van Chirp Systems, waarbij gevoelige inloggegevens hard-coded in de app stonden. Hierdoor konden aanvallers van op afstand elk slot openen dat gebruik maakte van Chirp's technologie. Ondanks meldingen aan Chirp en hun moederbedrijf RealPage, bleven respons en acties uit. De Amerikaanse Cybersecurity & Infrastructure Security Agency heeft de kwetsbaarheid in maart 2024 publiekelijk bekendgemaakt met een ernstscore van 9.1. Het lek heeft invloed op naar schatting 50.000 wooneenheden in de VS. RealPage ligt ook onder vuur voor mogelijke prijsafspraken met verhuurders om huurprijzen kunstmatig te verhogen. [krebsonsecurity]
Een ernstige kwetsbaarheid in de veelgebruikte ssh-client PuTTY stelt aanvallers in staat om 521-bit ECDSA private keys te stelen. Deze specifieke sleutels worden gebruikt in versies 0.68 tot 0.80 van het programma. Met de release van versie 0.81 is dit probleem verholpen. De kwetsbaarheid, geïdentificeerd als CVE-2024-31497, maakt het mogelijk voor aanvallers om private keys te achterhalen door gebruik te maken van publieke sleutels en een aantal door de gebruiker gesigneerde berichten. Als deze sleutels niet ingetrokken worden, kunnen aanvallers zich voordoen als de legitieme sleutelhouder en toegang krijgen tot beveiligde systemen. Gebruikers van getroffen versies worden dringend geadviseerd hun huidige sleutelparen in te trekken en te vervangen, en hun oude publieke sleutels te verwijderen uit alle geautoriseerde sleutelbestanden op ssh-servers. Dit lek is niet afhankelijk van de manier waarop de sleutel is gegenereerd, maar of deze gebruikt is met PuTTY of Pageant. Alleen 521-bit ECDSA sleutels zijn kwetsbaar; andere formaten en algoritmes zijn veilig. [openwall, greenend]
Palo Alto Networks heeft recentelijk hotfixes uitgebracht voor een zero-day kwetsbaarheid, die actief werd misbruikt sinds 26 maart om PAN-OS firewalls te manipuleren. Deze kwetsbaarheid, aangeduid als CVE-2024-3400, treft PAN-OS versies 10.2, 11.0 en 11.1 waarbij zowel de device telemetry als GlobalProtect (gateway of portal) geactiveerd zijn. Aanvallers konden deze fout benutten om zonder authenticatie en zonder gebruikersinteractie root toegang te verkrijgen door middel van command injection. Het bedrijf was op de hoogte van een beperkt aantal aanvallen die deze kwetsbaarheid uitbuiten en heeft inmiddels de kwetsbaarheid verholpen in de nieuwste hotfix releases. Extra patches voor latere versies van PAN-OS worden binnenkort verwacht. Beheerders die nog wachten op een hotfix kunnen de device telemetry functie uitschakelen of 'Threat ID 95187' activeren voor extra bescherming. De kwetsbaarheid heeft geen invloed op Cloud NGFW, Panorama apparaten en Prisma Access. Beveiligingsfirma Volexity heeft bevestigd dat kwaadwillenden deze fout gebruiken om netwerken te infiltreren en data te stelen, vermoedelijk door staatsgesteunde actoren. Daarnaast heeft het Cybersecurity and Infrastructure Security Agency (CISA) deze kwetsbaarheid toegevoegd aan hun catalogus van bekende uitgebuite kwetsbaarheden, waarbij federale instanties verplicht zijn om de beveiliging binnen een week te versterken.
D-Link heeft zijn klanten aangeraden om NAS-apparaten die de end-of-life of end-of-service status hebben bereikt, te vervangen. Deze aanbeveling komt nadat ernstige kwetsbaarheden zijn ontdekt in verschillende modellen, zoals de DNS-340L, DNS-320L, DNS-327L, en DNS-325. Deze kwetsbaarheden stellen aanvallers in staat om commando-injectie en commando backdoor aanvallen uit te voeren, waardoor zij toegang kunnen krijgen tot gevoelige gegevens of zelfs de systeemconfiguratie van de apparaten kunnen wijzigen. Er worden geen beveiligingsupdates meer uitgebracht voor deze verouderde apparaten, waardoor ze een significant risico vormen. Volgens een rapport van VulDB, dat eind maart aan D-Link werd gemeld, betreffen de kritieke kwetsbaarheden de codes CVE-2024-3272 en CVE-2024-3273. Het bedrijf heeft een lijst gepubliceerd met daarop de twintig getroffen modellen. Naar schatting zijn ongeveer 92.000 van deze NAS-apparaten nog in gebruik. D-Link adviseert gebruikers dringend om de betreffende apparaten niet meer te gebruiken en te zoeken naar veiligere alternatieven. [dlink]
Telegram heeft een kritieke beveiligingsfout in hun Windows-desktopapplicatie verholpen, waarbij een typfout in de broncode het mogelijk maakte voor Python-scripts om beveiligingswaarschuwingen te omzeilen en automatisch te starten. Dit kwam aan het licht nadat er geruchten en demonstratievideo's op internet verschenen waarin getoond werd hoe door het klikken op mediabestanden een rekenmachine-applicatie werd gestart. Hoewel oorspronkelijk ontkend door Telegram, werd de fout bevestigd toen een proof-of-concept exploit op het XSS-hackingforum werd gedeeld. Hierbij werd een Python-bestand, vermomd als video, naar gebruikers gestuurd die bij het klikken het script ongemerkt lieten draaien. Telegram heeft snel gereageerd met een server-side oplossing om dergelijke Python-scripts niet automatisch te laten starten. Dit werd bereikt door het toevoegen van de '.untrusted' extensie aan de bestanden, wat een extra beveiligingslaag toevoegt door Windows te laten vragen welk programma het bestand moet openen. De ontwikkelaars van Telegram hebben de lijst met risicovolle bestandsextensies bijgewerkt om herhaling te voorkomen. Telegram benadrukt dat dit probleem slechts een zeer kleine fractie van de gebruikers kon beïnvloeden, aangezien het Python interpreter geïnstalleerd moet zijn om het script uit te kunnen voeren.
#telegram #rce found in xss forum
— Phantom Radar (@phantmradar) April 11, 2024
http://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid[.]onion/
Poc: https://t.co/ySSG9giVhW
前几天的Telegram的RCE应该是这个:TG桌面客户端由于拼写错误,将Python zipapp的扩展名pyzw写成pywz(.pyzw是Windows的可执行文件),导致TG客户端打开对应文件不会有安全警告,将会直接执行指定文件
— 曾哥 (@AabyssZG) April 12, 2024
感谢@VulkeyChen师傅提供的资料
Github链接:https://t.co/s61tLVpM9I https://t.co/B8vsp2gYV8 pic.twitter.com/cpOK8gSbwz
Palo Alto Networks heeft een kritieke kwetsbaarheid geïdentificeerd in hun PAN-OS software, die draait op hun next-generation firewalls. Deze specifieke kwetsbaarheid, met referentie CVE-2024-3400, treft versies 10.2, 11.0 en 11.1 van PAN-OS waarbij zowel de GlobalProtect Gateway als Device Telemetry actief zijn. Deze kwetsbaarheid is als hoog risico geclassificeerd, wat betekent dat de kans op misbruik groot is en de potentiële schade aanzienlijk kan zijn. Tot op heden is deze kwetsbaarheid beperkt en gericht misbruikt. Deze kwetsbaarheid stelt een aanvaller in staat om via command-injection willekeurige code uit te voeren op de getroffen systemen. Momenteel is er geen Proof-of-Concept of exploitcode beschikbaar. Er is nog geen beveiligingsupdate vrijgegeven om dit probleem aan te pakken; deze wordt verwacht op 14 april. In de tussentijd zijn er preventieve maatregelen voorgesteld om het risico van misbruik te minimaliseren. Gebruikers van de PAN-OS-software wordt geadviseerd om deze mitigerende stappen direct te implementeren. Voor abonnees van de ‘Threat Prevention Subscription’ is het aanbevolen om Threat ID 95187 actief te hebben om aanvallen te blokkeren. Gebruikers zonder dit abonnement kunnen het beste 'Device Telemetry' tijdelijk uitschakelen tot de update wordt doorgevoerd. Het is cruciaal om de update zo spoedig mogelijk te installeren zodra deze beschikbaar is. [dtc, ncsc, paloaltonetworks]
Een bijna zes jaar oud beveiligingslek in de Lighttpd-webserver, gebruikt in Baseboard Management Controllers (BMC) van servers, is door diverse apparaatfabrikanten over het hoofd gezien, waaronder Intel en Lenovo. Dit lek maakt het mogelijk voor aanvallers om geheugenadressen van processen te onderscheppen, wat hen kan helpen om beveiligingsmechanismen zoals Address Space Layout Randomization (ASLR) te omzeilen. Ondanks dat de kwetsbaarheid al in augustus 2018 werd opgelost, werd deze stilzwijgend gepatcht zonder een CVE-tracking ID toe te wijzen, waardoor de ontwikkelaars van AMI MegaRAC BMC de reparatie misten. Dit probleem sijpelde vervolgens door naar de systemen van de leveranciers en hun klanten, waardoor een groot aantal apparaten tussen 2019 en 2023 kwetsbaar bleven voor deze op afstand uitbuitbare bug. Onderzoek van het firmwarebeveiligingsbedrijf Binarly toont aan dat duizenden apparaten in het veld getroffen zijn, waaronder modellen van Intel en Lenovo die reeds het einde van hun levensduur hebben bereikt en niet langer beveiligingsupdates ontvangen. Dit incident belicht de lacunes in de firmware-toeleveringsketen en het gebrek aan transparantie van de onderhouders van Lighttpd, wat heeft bijgedragen aan het probleem.### Titel: Zes jaar oude kwetsbaarheid in Lighttpd-webserver treft Intel- en Lenovo-servers Bijna zes jaar na dato blijkt een kwetsbaarheid in de Lighttpd-webserver, gebruikt in Baseboard Management Controllers (BMC's), over het hoofd te zijn gezien door diverse apparaatfabrikanten, waaronder Intel en Lenovo. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om procesgeheugenadressen te ontfutselen, wat kan leiden tot het omzeilen van beveiligingsmechanismen zoals Address Space Layout Randomization (ASLR). Lighttpd staat bekend als een lichtgewicht, snelle en efficiënte webserver, ideaal voor websites met veel verkeer. De kwetsbaarheid, ontdekt door beveiligingsonderzoekers van Binarly, betreft een op afstand uit te buiten heap out-of-bounds (OOB) leesfout veroorzaakt door de verwerking van "opgevouwen" HTTP-verzoekheaders in de Lighttpd-webserver. Hoewel de kwetsbaarheid in augustus 2018 was opgelost, werd de patch stilzwijgend doorgevoerd in versie 1.4.51 van Lighttpd, zonder een CVE-tracking-ID toe te wijzen. Hierdoor misten de ontwikkelaars van AMI MegaRAC BMC de fix, waardoor de kwetsbaarheid kon doorsijpelen naar systeemfabrikanten en hun klanten. BMC's, cruciaal voor het beheer op afstand van servers, inclusief die in datacenters en cloudomgevingen, bleven hierdoor jarenlang kwetsbaar. Ondanks dat de kwetsbaarheid bekend was bij Binarly, en de betrokkenheid van grote namen als Intel en Lenovo, zijn er volgens het bedrijf nog altijd duizenden apparaten in gebruik die risico lopen. Beide fabrikanten hebben aangegeven dat de getroffen modellen het einde van hun levensduur hebben bereikt en niet meer voorzien worden van beveiligingsupdates, waardoor ze kwetsbaar blijven tot ze uit bedrijf worden genomen. Dit incident benadrukt de risico's van lacunes in de beveiliging van de toeleveringsketen van firmware en de noodzaak van transparantie en tijdige updates om dergelijke kwetsbaarheden te verhelpen. [binarly]
Duizenden NAS-systemen van D-Link, die vanaf internet toegankelijk zijn, zijn kwetsbaar voor cyberaanvallen en worden niet meer bijgewerkt omdat ze end-of-life zijn. Oorspronkelijk meldde D-Link dat vier modellen risico liepen, maar recente updates tonen aan dat het om twintig modellen gaat. De kwetsbaarheden omvatten command injection en een backdoor-account, die aanvallers kunnen exploiteren. Volgens het beveiligingsbedrijf Censys zijn er 3700 van deze kwetsbare systemen online, waarvan meer dan 350 met ingeschakelde remote access en bijna tweehonderd met VoIP-functionaliteit. Deze systemen zijn voornamelijk te vinden in de VS, Rusland, Italië, Duitsland en Frankrijk. Zowel D-Link als de Amerikaanse overheid adviseren gebruikers hun apparaten te vervangen door nieuwere modellen om verdere risico's te vermijden. [censys, dlink]
Microsoft heeft aangekondigd dat het de oorzaken van kwetsbaarheden in zijn producten zal gaan beschrijven aan de hand van de Common Weakness Enumeration (CWE)-standaard. Dit systeem classificeert en beschrijft de onderliggende oorzaken van software- en hardwarekwetsbaarheden, zoals onjuiste invoervalidatie, het gebruik van hard-coded credentials, of fouten in authenticatiemechanismen. Het doel van deze aanpak is om meer inzichtelijke discussies binnen beveiligingsbulletins te bevorderen. Hierdoor kunnen kwetsbaarheden beter begrepen, aangepakt en voorkomen worden in zowel bestaande als toekomstige producten. Microsofts Lisa Olson benadrukt dat het precies benoemen van kwetsbaarheden essentieel is voor het systematisch aanpakken ervan. Door deze stap hoopt Microsoft ook andere bedrijven binnen de sector te inspireren om dezelfde methodiek toe te passen, wat uiteindelijk moet leiden tot een veiligere digitale omgeving voor iedereen. [cwe.mitre.org]
Microsoft heeft in april 2024 tijdens de maandelijkse Patch Tuesday twee zero-day kwetsbaarheden in Windows aangepakt die actief werden uitgebuit, hoewel deze aanvankelijk niet als zodanig waren gemarkeerd. De eerste kwetsbaarheid, met kenmerk CVE-2024-26234, betreft een nabootsing van een proxy driver en werd ontdekt door Sophos X-Ops in december 2023. Deze kwaadaardige driver was getekend met een geldig Microsoft Hardware Publisher Certificate en deed zich voor als de 'Catalog Authentication Client Service' van 'Catalog Thales', een waarschijnlijke imitatie van Thales Group. Verder onderzoek linkte het aan LaiXi Android Screen Mirroring software, die als achterdeur functioneerde. De tweede kwetsbaarheid, getagged als CVE-2024-29988, werd stilletjes gepatcht en betreft een omzeiling van de SmartScreen prompt-beveiligingsfunctie door een zwakke beschermingsmechanisme. Deze exploit is een vervolg op een eerder ontdekte kwetsbaarheid CVE-2024-21412, en werd misbruikt door de financieel gemotiveerde hackinggroep Water Hydra om malware te verspreiden via gerichte aanvallen. Beide kwetsbaarheden zijn nu bevestigd als uitgebuit in het wild en openbaar bekendgemaakt. Microsoft heeft tevens beveiligingsupdates uitgebracht voor 150 andere kwetsbaarheden, waaronder 67 die remote code execution mogelijk maken. [sophos, zerodayinitiative]
Een ernstige kwetsbaarheid in de Rust standaardbibliotheek stelt cybercriminelen in staat commando-injectieaanvallen op Windows-systemen uit te voeren. Deze kwetsbaarheid, aangeduid als CVE-2024-24576, ontstaat door zwakheden in het injecteren van OS-commando's en argumenten, waardoor aanvallers onverwachte en potentieel kwaadaardige commando's kunnen uitvoeren. GitHub heeft deze kwetsbaarheid als kritiek beoordeeld met een maximale CVSS-score van 10/10. De Rust Security Response werkgroep ontdekte dat de standaardbibliotheek niet correct argumenten ontsnapte bij het aanroepen van batchbestanden met de extensies .bat en .cmd op Windows via de Command API. Aanvallers die de controle over de argumenten kunnen krijgen, kunnen willekeurige shell-commando's uitvoeren door de ontsnappingsmechanismen te omzeilen. Dit risico is vooral kritiek bij het aanroepen van batchbestanden met niet-vertrouwde argumenten. Het probleem treft alle versies van Rust voor 1.77.2 op Windows. Als gevolg hiervan heeft het Rust-beveiligingsteam de robuustheid van de ontsnappingscode moeten verbeteren en aanpassingen moeten maken in de Command API. Als het veilig ontsnappen van een argument niet mogelijk is, geeft de API nu een InvalidInput-fout terug. Het Rust-team biedt ook een alternatief met de CommandExt::raw_arg methode voor gebruikers die zelf de ontsnappingslogica implementeren of alleen vertrouwde input hanteren. [cwe78, cwe88, nvd]
Today, Rust 1.77.2 will be released with a critical security patch to the standard library for those on Windows using the Command API to invoke batch files with untrusted arguments. No other platform or use is affected.
— Rust Language (@rustlang) April 9, 2024
See the announcement for details: https://t.co/uaLYGDjc2r
In de meest recente Patch Tuesday van Microsoft, uitgebracht in april 2024, zijn maar liefst 150 beveiligingsproblemen aangepakt. Hieronder vallen 67 gevallen van mogelijke remote code executions (RCE), waarvan meer dan de helft gekoppeld is aan kwetsbaarheden in Microsoft SQL-drivers. Drie van de opgeloste kwetsbaarheden zijn geclassificeerd als kritiek. Er zijn tevens 26 problemen met Secure Boot bypasses verholpen, inclusief twee specifieke gevallen van Lenovo. Bovendien heeft Microsoft twee zero-day kwetsbaarheden hersteld die actief werden uitgebuit in malware-aanvallen. Een van deze, een spoofing-kwetsbaarheid in een proxy driver, was onterecht niet gemarkeerd als actief uitgebuit bij de initiële uitgave. De andere belangrijke patch betreft een omzeiling van de beveiligingsfunctie van SmartScreen, die door cybercriminelen gebruikt werd om schadelijke software te verspreiden via financieel getinte phishing-aanvallen. Deze updates benadrukken het voortdurende belang van regelmatige beveiligingscontroles en updates om de veiligheid van systemen en gegevens te waarborgen tegen steeds veranderende cyberdreigingen.
Tag | CVE ID | CVE Title | Severity |
---|---|---|---|
.NET and Visual Studio | CVE-2024-21409 | .NET, .NET Framework, and Visual Studio Remote Code Execution Vulnerability | Important |
Azure | CVE-2024-29993 | Azure CycleCloud Elevation of Privilege Vulnerability | Important |
Azure AI Search | CVE-2024-29063 | Azure AI Search Information Disclosure Vulnerability | Important |
Azure Arc | CVE-2024-28917 | Azure Arc-enabled Kubernetes Extension Cluster-Scope Elevation of Privilege Vulnerability | Important |
Azure Compute Gallery | CVE-2024-21424 | Azure Compute Gallery Elevation of Privilege Vulnerability | Important |
Azure Migrate | CVE-2024-26193 | Azure Migrate Remote Code Execution Vulnerability | Important |
Azure Monitor | CVE-2024-29989 | Azure Monitor Agent Elevation of Privilege Vulnerability | Important |
Azure Private 5G Core | CVE-2024-20685 | Azure Private 5G Core Denial of Service Vulnerability | Moderate |
Azure SDK | CVE-2024-29992 | Azure Identity Library for .NET Information Disclosure Vulnerability | Moderate |
Intel | CVE-2024-2201 | Intel: CVE-2024-2201 Branch History Injection | Important |
Internet Shortcut Files | CVE-2024-29988 | SmartScreen Prompt Security Feature Bypass Vulnerability | Important |
Mariner | CVE-2019-3816 | Unknown | Unknown |
Mariner | CVE-2019-3833 | Unknown | Unknown |
Microsoft Azure Kubernetes Service | CVE-2024-29990 | Microsoft Azure Kubernetes Service Confidential Container Elevation of Privilege Vulnerability | Important |
Microsoft Brokering File System | CVE-2024-28905 | Microsoft Brokering File System Elevation of Privilege Vulnerability | Important |
Microsoft Brokering File System | CVE-2024-28907 | Microsoft Brokering File System Elevation of Privilege Vulnerability | Important |
Microsoft Brokering File System | CVE-2024-26213 | Microsoft Brokering File System Elevation of Privilege Vulnerability | Important |
Microsoft Brokering File System | CVE-2024-28904 | Microsoft Brokering File System Elevation of Privilege Vulnerability | Important |
Microsoft Defender for IoT | CVE-2024-29055 | Microsoft Defender for IoT Elevation of Privilege Vulnerability | Important |
Microsoft Defender for IoT | CVE-2024-29053 | Microsoft Defender for IoT Remote Code Execution Vulnerability | Critical❗️ |
Microsoft Defender for IoT | CVE-2024-29054 | Microsoft Defender for IoT Elevation of Privilege Vulnerability | Important |
Microsoft Defender for IoT | CVE-2024-21324 | Microsoft Defender for IoT Elevation of Privilege Vulnerability | Important |
Microsoft Defender for IoT | CVE-2024-21323 | Microsoft Defender for IoT Remote Code Execution Vulnerability | Critical❗️ |
Microsoft Defender for IoT | CVE-2024-21322 | Microsoft Defender for IoT Remote Code Execution Vulnerability | Critical❗️ |
Microsoft Edge (Chromium-based) | CVE-2024-3156 | Chromium: CVE-2024-3156 Inappropriate implementation in V8 | Unknown |
Microsoft Edge (Chromium-based) | CVE-2024-29049 | Microsoft Edge (Chromium-based) Webview2 Spoofing Vulnerability | Moderate |
Microsoft Edge (Chromium-based) | CVE-2024-29981 | Microsoft Edge (Chromium-based) Spoofing Vulnerability | Low |
Microsoft Edge (Chromium-based) | CVE-2024-3159 | Chromium: CVE-2024-3159 Out of bounds memory access in V8 | Unknown |
Microsoft Edge (Chromium-based) | CVE-2024-3158 | Chromium: CVE-2024-3158 Use after free in Bookmarks | Unknown |
Microsoft Install Service | CVE-2024-26158 | Microsoft Install Service Elevation of Privilege Vulnerability | Important |
Microsoft Office Excel | CVE-2024-26257 | Microsoft Excel Remote Code Execution Vulnerability | Important |
Microsoft Office Outlook | CVE-2024-20670 | Outlook for Windows Spoofing Vulnerability | Important |
Microsoft Office SharePoint | CVE-2024-26251 | Microsoft SharePoint Server Spoofing Vulnerability | Important |
Microsoft WDAC ODBC Driver | CVE-2024-26214 | Microsoft WDAC SQL Server ODBC Driver Remote Code Execution Vulnerability | Important |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-26244 | Microsoft WDAC OLE DB Provider for SQL Server Remote Code Execution Vulnerability | Important |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-26210 | Microsoft WDAC OLE DB Provider for SQL Server Remote Code Execution Vulnerability | Important |
Role: DNS Server | CVE-2024-26233 | Windows DNS Server Remote Code Execution Vulnerability | Important |
Role: DNS Server | CVE-2024-26231 | Windows DNS Server Remote Code Execution Vulnerability | Important |
Role: DNS Server | CVE-2024-26227 | Windows DNS Server Remote Code Execution Vulnerability | Important |
Role: DNS Server | CVE-2024-26223 | Windows DNS Server Remote Code Execution Vulnerability | Important |
Role: DNS Server | CVE-2024-26221 | Windows DNS Server Remote Code Execution Vulnerability | Important |
Role: DNS Server | CVE-2024-26224 | Windows DNS Server Remote Code Execution Vulnerability | Important |
Role: DNS Server | CVE-2024-26222 | Windows DNS Server Remote Code Execution Vulnerability | Important |
Role: Windows Hyper-V | CVE-2024-29064 | Windows Hyper-V Denial of Service Vulnerability | Important |
SQL Server | CVE-2024-28937 | Microsoft ODBC Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28938 | Microsoft ODBC Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-29044 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28935 | Microsoft ODBC Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28940 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28943 | Microsoft ODBC Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28941 | Microsoft ODBC Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28910 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28944 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28908 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28909 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-29985 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28906 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28926 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28933 | Microsoft ODBC Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28934 | Microsoft ODBC Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28927 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28930 | Microsoft ODBC Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-29046 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28932 | Microsoft ODBC Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-29047 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28931 | Microsoft ODBC Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-29984 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28929 | Microsoft ODBC Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28939 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28942 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-29043 | Microsoft ODBC Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28936 | Microsoft ODBC Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-29045 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28915 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28913 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28945 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-29048 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28912 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28914 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-29983 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-28911 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
SQL Server | CVE-2024-29982 | Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability | Important |
Windows Authentication Methods | CVE-2024-29056 | Windows Authentication Elevation of Privilege Vulnerability | Important |
Windows Authentication Methods | CVE-2024-21447 | Windows Authentication Elevation of Privilege Vulnerability | Important |
Windows BitLocker | CVE-2024-20665 | BitLocker Security Feature Bypass Vulnerability | Important |
Windows Compressed Folder | CVE-2024-26256 | libarchive Remote Code Execution Vulnerability | Important |
Windows Cryptographic Services | CVE-2024-26228 | Windows Cryptographic Services Security Feature Bypass Vulnerability | Important |
Windows Cryptographic Services | CVE-2024-29050 | Windows Cryptographic Services Remote Code Execution Vulnerability | Important |
Windows Defender Credential Guard | CVE-2024-26237 | Windows Defender Credential Guard Elevation of Privilege Vulnerability | Important |
Windows DHCP Server | CVE-2024-26212 | DHCP Server Service Denial of Service Vulnerability | Important |
Windows DHCP Server | CVE-2024-26215 | DHCP Server Service Denial of Service Vulnerability | Important |
Windows DHCP Server | CVE-2024-26195 | DHCP Server Service Remote Code Execution Vulnerability | Important |
Windows DHCP Server | CVE-2024-26202 | DHCP Server Service Remote Code Execution Vulnerability | Important |
Windows Distributed File System (DFS) | CVE-2024-29066 | Windows Distributed File System (DFS) Remote Code Execution Vulnerability | Important |
Windows Distributed File System (DFS) | CVE-2024-26226 | Windows Distributed File System (DFS) Information Disclosure Vulnerability | Important |
Windows DWM Core Library | CVE-2024-26172 | Windows DWM Core Library Information Disclosure Vulnerability | Important |
Windows File Server Resource Management Service | CVE-2024-26216 | Windows File Server Resource Management Service Elevation of Privilege Vulnerability | Important |
Windows HTTP.sys | CVE-2024-26219 | HTTP.sys Denial of Service Vulnerability | Important |
Windows Internet Connection Sharing (ICS) | CVE-2024-26253 | Windows rndismp6.sys Remote Code Execution Vulnerability | Important |
Windows Internet Connection Sharing (ICS) | CVE-2024-26252 | Windows rndismp6.sys Remote Code Execution Vulnerability | Important |
Windows Kerberos | CVE-2024-26183 | Windows Kerberos Denial of Service Vulnerability | Important |
Windows Kerberos | CVE-2024-26248 | Windows Kerberos Elevation of Privilege Vulnerability | Important |
Windows Kernel | CVE-2024-20693 | Windows Kernel Elevation of Privilege Vulnerability | Important |
Windows Kernel | CVE-2024-26245 | Windows SMB Elevation of Privilege Vulnerability | Important |
Windows Kernel | CVE-2024-26229 | Windows CSC Service Elevation of Privilege Vulnerability | Important |
Windows Kernel | CVE-2024-26218 | Windows Kernel Elevation of Privilege Vulnerability | Important |
Windows Local Security Authority Subsystem Service (LSASS) | CVE-2024-26209 | Microsoft Local Security Authority Subsystem Service Information Disclosure Vulnerability | Important |
Windows Message Queuing | CVE-2024-26232 | Microsoft Message Queuing (MSMQ) Remote Code Execution Vulnerability | Important |
Windows Message Queuing | CVE-2024-26208 | Microsoft Message Queuing (MSMQ) Remote Code Execution Vulnerability | Important |
Windows Mobile Hotspot | CVE-2024-26220 | Windows Mobile Hotspot Information Disclosure Vulnerability | Important |
Windows Proxy Driver | CVE-2024-26234 | Proxy Driver Spoofing Vulnerability | Important |
Windows Remote Access Connection Manager | CVE-2024-28902 | Windows Remote Access Connection Manager Information Disclosure Vulnerability | Important |
Windows Remote Access Connection Manager | CVE-2024-28900 | Windows Remote Access Connection Manager Information Disclosure Vulnerability | Important |
Windows Remote Access Connection Manager | CVE-2024-28901 | Windows Remote Access Connection Manager Information Disclosure Vulnerability | Important |
Windows Remote Access Connection Manager | CVE-2024-26255 | Windows Remote Access Connection Manager Information Disclosure Vulnerability | Important |
Windows Remote Access Connection Manager | CVE-2024-26230 | Windows Telephony Server Elevation of Privilege Vulnerability | Important |
Windows Remote Access Connection Manager | CVE-2024-26239 | Windows Telephony Server Elevation of Privilege Vulnerability | Important |
Windows Remote Access Connection Manager | CVE-2024-26207 | Windows Remote Access Connection Manager Information Disclosure Vulnerability | Important |
Windows Remote Access Connection Manager | CVE-2024-26217 | Windows Remote Access Connection Manager Information Disclosure Vulnerability | Important |
Windows Remote Access Connection Manager | CVE-2024-26211 | Windows Remote Access Connection Manager Elevation of Privilege Vulnerability | Important |
Windows Remote Procedure Call | CVE-2024-20678 | Remote Procedure Call Runtime Remote Code Execution Vulnerability | Important |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-26200 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Important |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-26179 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Important |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-26205 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Important |
Windows Secure Boot | CVE-2024-29061 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-28921 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-20689 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-26250 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-28922 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-29062 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-20669 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-28898 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-20688 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-23593 | Lenovo: CVE-2024-23593 Zero Out Boot Manager and drop to UEFI Shell | Important |
Windows Secure Boot | CVE-2024-28896 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-28919 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-23594 | Lenovo: CVE-2024-23594 Stack Buffer Overflow in LenovoBT.efi | Important |
Windows Secure Boot | CVE-2024-28923 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-28903 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-26189 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-26240 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-28924 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-28897 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-28925 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-26175 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-28920 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-26194 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-26180 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-26171 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Secure Boot | CVE-2024-26168 | Secure Boot Security Feature Bypass Vulnerability | Important |
Windows Storage | CVE-2024-29052 | Windows Storage Elevation of Privilege Vulnerability | Important |
Windows Telephony Server | CVE-2024-26242 | Windows Telephony Server Elevation of Privilege Vulnerability | Important |
Windows Update Stack | CVE-2024-26236 | Windows Update Stack Elevation of Privilege Vulnerability | Important |
Windows Update Stack | CVE-2024-26235 | Windows Update Stack Elevation of Privilege Vulnerability | Important |
Windows USB Print Driver | CVE-2024-26243 | Windows USB Print Driver Elevation of Privilege Vulnerability | Important |
Windows Virtual Machine Bus | CVE-2024-26254 | Microsoft Virtual Machine Bus (VMBus) Denial of Service Vulnerability | Important |
Windows Win32K - ICOMP | CVE-2024-26241 | Win32k Elevation of Privilege Vulnerability | Important |
Netwerkfabrikant Fortinet heeft gewaarschuwd voor een kwetsbaarheid in FortiOS en FortiProxy, waardoor aanvallers de cookies van administrators kunnen stelen. FortiOS is het besturingssysteem van Fortinet dat op verschillende netwerkapparaten draait, terwijl FortiProxy een webgateway is. Het beveiligingslek, geclassificeerd als CVE-2023-41677, wordt beschreven als een 'insufficiently protected credentials' kwetsbaarheid. Om de cookies te stelen, moet een aanvaller een administrator eerst een kwaadaardige website laten bezoeken via de vpn. Met de gestolen cookies kan de aanvaller ongeautoriseerde code of commando's op het systeem uitvoeren. De ernst van de kwetsbaarheid wordt beoordeeld met een score van 7.5 op een schaal van 1 tot en met 10. Fortinet heeft updates uitgebracht om het probleem te verhelpen.
Duizenden WordPress-websites die de MasterStudy plug-in gebruiken, lopen het risico overgenomen te worden door cybercriminelen vanwege ernstige beveiligingslekken. De plug-in, die websites transformeert in een 'learning management system', is geïnstalleerd op meer dan tienduizend websites, veelal gebruikt door e-learning professionals zoals online coaches en trainers. De eerste ontdekte kwetsbaarheid stelt een niet-geauthenticeerde gebruiker in staat om beheerdersrechten te verkrijgen door gebruikersmetadata tijdens registratie aan te passen. Twee andere lekken laten een aanvaller toe om PHP-bestanden te uploaden, waardoor zij willekeurige code kunnen uitvoeren op de server. Deze lekken zijn zeer ernstig en zijn door experts beoordeeld met een 9.8 op een schaal van 10. Ondanks dat er al beveiligingsupdates beschikbaar zijn gemaakt, hebben vele sites deze nog niet geïnstalleerd, wat hen kwetsbaar maakt voor aanvallen. Wordfence heeft de kwetsbaarheden ontdekt en de updates uitgebracht om de problemen te verhelpen. Gebruikers van de plug-in worden dringend geadviseerd om hun systemen zo snel mogelijk bij te werken om risico's te verminderen. [wordfence, wordpress]
Onderzoekers van Varonis Threat Labs hebben twee technieken ontdekt die aanvallers in staat stellen om controlemechanismen in Microsoft SharePoint te omzeilen, waardoor ze onopgemerkt bestanden kunnen stelen. SharePoint wordt veel gebruikt voor documentbeheer en samenwerking binnen bedrijven, waarbij gevoelige gegevens vaak worden geaudit om verdachte activiteiten te signaleren. De eerste methode maakt misbruik van de functie "Open in App", waarmee documenten met applicaties zoals Microsoft Word kunnen worden geopend, in plaats van via de webbrowser. Dit registreert geen "FileDownloaded" gebeurtenis in de auditlogs, maar slechts een "Access"-gebeurtenis, die gemakkelijker over het hoofd wordt gezien door beheerders. De tweede methode behelst het vervalsen van de User-Agent string van de toegangsverzoeken, om te doen alsof de bestandsdownloads normale synchronisatieactiviteiten zijn tussen SharePoint en de lokale computer van een gebruiker. Dit resulteert in logs die minder snel worden gecontroleerd op onregelmatigheden. Microsoft is op de hoogte gesteld van deze kwetsbaarheden en heeft ze toegevoegd aan een lijst voor toekomstige patches, hoewel ze momenteel als matig ernstig zijn geclassificeerd en niet direct worden opgelost. Tot die tijd is het belangrijk dat SharePoint-beheerders zich bewust zijn van deze technieken en passende maatregelen nemen om ongeautoriseerde datatoegang te identificeren en te voorkomen. [varonis]
Beveiligingsonderzoekers van Bitdefender hebben vier kwetsbaarheden ontdekt in meerdere versies van WebOS, het besturingssysteem van LG smart TV's. Deze kwetsbaarheden stellen hackers in staat om verschillende niveaus van ongeautoriseerde toegang en controle te verkrijgen over de getroffen modellen. De problemen variëren van autorisatie-omzeilingen, privilege-escalatie tot commando-injecties. Aanvallers kunnen door misbruik van een variabele instelling extra gebruikers toevoegen zonder passende autorisatie en zelfs roottoegang verkrijgen na initiële ongeautoriseerde toegang. Verder kunnen aanvallers besturingssysteemcommando's injecteren via een bibliotheek die muziekteksten weergeeft, waardoor willekeurige commando's uitgevoerd kunnen worden. Een specifieke API stelt geauthenticeerde commando-injecties mogelijk, wat de uitvoering van commando's als een gebruiker met root-achtige rechten mogelijk maakt. De kwetsbaarheden beïnvloeden verschillende versies van WebOS, variërend over meerdere TV-modellen. Ondanks dat LG op de hoogte werd gebracht, duurde het enige tijd voordat beveiligingsupdates beschikbaar werden gesteld. Gebruikers worden aangeraden updates niet uit te stellen en automatische updates in te schakelen om hun apparaten te beschermen tegen mogelijke aanvallen, die kunnen leiden tot verdere netwerkinfecties of het overnemen van gekoppelde accounts zoals streamingdiensten. [bitdefender]
In de XZ-datacompressietool is een ernstige backdoor aangetroffen die een volledige authenticatie bypass mogelijk maakt, volgens onderzoeker Peter "blasty" Geissler. Dit beveiligingslek stelt een aanvaller in staat om met elk willekeurig wachtwoord op systemen in te loggen, waarbij zelfs remote code execution mogelijk is. De backdoor vereist diepgaande kennis van OpenSSH, iets wat de ontwerper van de backdoor lijkt te bezitten. Lasse Collin, de maker van XZ, heeft aangekondigd zelf een onderzoek naar deze backdoor te starten en overweegt updates in de tool door te voeren. Details over de werking van de backdoor en de verantwoordelijke partij zijn nog onbekend. Ondertussen hebben andere onderzoekers, waaronder Geissler, hun bevindingen gedeeld en aangetoond dat de backdoor niet gemakkelijk te activeren is, maar nog veel aspecten bevat die verder onderzocht moeten worden. Deze ontdekking benadrukt het belang van voortdurende waakzaamheid en onderzoek binnen de cybersecuritygemeenschap om de veiligheid van softwaretools te waarborgen. [tukaani]
the xz sshd backdoor rabbithole goes quite a bit deeper. I was just able to trigger some harder to reach functionality of the backdoor. there's still more to explore.. 1/n pic.twitter.com/s1zJ8EBiMl
— blasty (@bl4sty) April 6, 2024
Sunbird heeft zijn iMessage-app voor Android opnieuw uitgebracht, nadat deze eind vorig jaar vanwege ernstige beveiligingsproblemen offline werd gehaald. De app, die berichten onversleuteld opsloeg, is volgens de makers nu voorzien van een geheel nieuwe architectuur die de veiligheid van gebruikersgegevens waarborgt. De problemen kwamen aan het licht nadat beveiligingsonderzoekers in november kritieke gebreken ontdekten, waaronder de onjuiste claim over end-to-endencryptie. De ontwikkelaars hebben de architectuur, genaamd AV1, vervangen door AV2, waarin berichten alleen kortstondig in het geheugen bestaan bij het doorgeven aan netwerken zoals iMessage en RCS/Google Messages. Berichten worden nu ook versleuteld opgeslagen in de in-app database. Verder heeft het bedrijf nieuwe beveiligingsmaatregelen getroffen, waaronder samenwerking met het cybersecuritybedrijf Cipher, dat geen kritieke problemen meer heeft gevonden na recente pentests. Naast technische verbeteringen, heeft Sunbird ook zijn team uitgebreid en beweert opnieuw dat gebruikersgegevens nooit onversleuteld worden opgeslagen. Deze maatregelen moeten het vertrouwen van gebruikers in de veiligheid van hun communicatie via de app herstellen.
Meer dan 92.000 #D-Link #NAS-apparaten met #end-of-life status hebben een #achterdeur en een #commando-injectieprobleem, waardoor aanvallers op afstand commando's kunnen uitvoeren zonder patch beschikbaar.
Een onderzoeker heeft onlangs een ernstig beveiligingslek in verschillende modellen van D-Link Network Attached Storage (NAS) ontdekt, welke reeds het einde van hun ondersteuningsperiode hebben bereikt. Dit lek, geïdentificeerd als CVE-2024-3273, omvat een achterdeur en een commando-injectie probleem. Het achterdeurprobleem wordt veroorzaakt door een hardcoded account met de gebruikersnaam "messagebus" zonder wachtwoord. Daarnaast stelt het commando-injectieprobleem aanvallers in staat om op afstand commando's uit te voeren door middel van een HTTP GET-verzoek dat een base64-gecodeerd commando naar de "system" parameter stuurt. De getroffen modellen zijn DNS-320L, DNS-325, DNS-327L en DNS-340L. Er zijn meer dan 92.000 van deze apparaten online en kwetsbaar gevonden. D-Link heeft aangegeven geen patches te zullen uitbrengen voor deze verouderde apparaten en adviseert gebruikers om ze te vervangen door nieuwere modellen die wel updates ontvangen. Gebruikers die deze verouderde apparaten blijven gebruiken, worden aangeraden de nieuwste beschikbare updates toe te passen, hoewel deze het nieuwe probleem niet zullen verhelpen. [github]
Ongeveer 16.500 Ivanti Connect Secure en Poly Secure gateways die online zijn blootgesteld, lopen risico door een ernstige fout waarmee hackers op afstand code kunnen uitvoeren (RCE). Deze kwetsbaarheid, bekend als CVE-2024-21894, betreft een heap overflow in het IPSec-onderdeel van de Ivanti Connect Secure versies 9.x en 22.x. Hierdoor kunnen ongeautoriseerde gebruikers mogelijk een denial of service (DoS) veroorzaken of zelfs RCE bewerkstelligen door speciaal ontworpen verzoeken te verzenden. Bij de onthulling op 3 april 2024 bleek uit gegevens van de zoekmachine Shodan en de dreigingsmonitoringservice Shadowserver dat respectievelijk 29.000 en 18.000 Ivanti-apparaten online toegankelijk waren. Twee dagen na de onthulling bleken ongeveer 16.500 apparaten kwetsbaar te zijn voor de RCE-fout. De Verenigde Staten leiden met 4.700 kwetsbare instanties, gevolgd door Japan, het Verenigd Koninkrijk, Duitsland, Frankrijk, China en andere landen. Gezien het hoge risico dat verbonden is aan de kwetsbaarheden in Ivanti-producten, die eerder dit jaar nog werden uitgebuit door staat gesponsorde hackers, wordt systeembeheerders dringend aangeraden de beschikbare updates en oplossingen zo snel mogelijk toe te passen. [Mandiant]
Mozilla heeft indrukwekkend snel gehandeld door binnen slechts 21 uur twee kritieke kwetsbaarheden in de Firefox-browser te dichten. Deze kwetsbaarheden werden aan het licht gebracht tijdens de Pwn2Own-hackingcompetitie in Vancouver, waar onderzoekers onbekende kwetsbaarheden in populaire software demonstreren. Bij deze editie konden onderzoekers succesvolle aanvallen op Chrome, Edge, Firefox en Safari uitvoeren, maar alleen Firefox had kritieke lekken die externe code-executie op het systeem mogelijk maakten. Mozilla's snelle reactie onderstreept het bedrijf’s toewijding aan beveiliging, waarbij hun engineers tijdens Pwn2Own stand-by staan om direct op kwetsbaarheden te reageren. Google, Microsoft en Apple volgden met updates, maar Mozilla was de snelste met een oplossing. Dit toont aan hoe kritiek snelle patchprocessen zijn in de strijd tegen cyberdreigingen en benadrukt de noodzaak voor bedrijven om altijd alert te blijven op potentiële kwetsbaarheden. [mozilla]
Microsoft heeft een probleem opgelost dat foutieve veiligheidswaarschuwingen veroorzaakte bij het openen van .ICS kalenderbestanden in Outlook Desktop, na de installatie van de beveiligingsupdates van december 2023. Deze waarschuwingen werden ten onrechte weergegeven door een patch bedoeld om de CVE-2023-35636 kwetsbaarheid in Microsoft Outlook aan te pakken. Deze kwetsbaarheid kon door aanvallers worden uitgebuit om NTLM-hashes te stelen door middel van kwaadaardig vervaardigde bestanden, waarmee ze zich vervolgens konden authenticeren als de gecompromitteerde Windows-gebruiker in zogenaamde pass-the-hash aanvallen. Getroffen gebruikers van Microsoft 365 zagen dialoogvensters die hen waarschuwden voor een "mogelijk beveiligingsprobleem" en dat de "locatie onveilig" kan zijn bij het dubbelklikken op lokaal opgeslagen ICS-bestanden. Microsoft heeft dit probleem, dat zij eerst in februari erkenden, nu verholpen in Outlook voor Microsoft 365 Versie 2404 Build 17531.20000 in het Beta-kanaal. Gebruikers in de Current Channel kunnen de oplossing verwachten op 30 april. Tot de uitrol compleet is, kunnen getroffen gebruikers een tijdelijke oplossing toepassen door een registeraanpassing te doen, maar dit stopt ook veiligheidsprompts voor andere potentieel gevaarlijke bestandstypes. Microsoft heeft ook andere recente problemen met Outlook aangepakt, waaronder synchronisatieproblemen met e-mailservers en verbindingsproblemen op desktop- en mobiele e-mailclients.
Cisco heeft een waarschuwing afgegeven over een cross-site scripting (XSS) kwetsbaarheid in zes types van hun niet langer ondersteunde VPN-routers, waardoor aanvallers potentieel toegang kunnen krijgen tot de apparaten. De getroffen modellen zijn de Cisco Small Business RV016, RV042, RV042G, RV082, RV320, en RV325. De kwetsbaarheid ontstaat omdat de webinterface gebruikersinvoer onvoldoende controleert, waardoor een aanvaller malafide scriptcode kan uitvoeren als een gebruiker een kwaadaardige website bezoekt. Door deze kwetsbaarheid kunnen aanvallers gevoelige informatie verkrijgen of toegang krijgen tot het apparaat zelf. Omdat deze routers het einde van hun levensduur (end-of-life) hebben bereikt, zal Cisco geen beveiligingsupdates meer uitbrengen om dit probleem aan te pakken. Als tijdelijke oplossing adviseert het bedrijf het uitschakelen van remote management en het blokkeren van toegang tot de poorten 443 en 60443. Als alternatief wordt voorgesteld om te overwegen een nieuw routermodel aan te schaffen om zo de veiligheid van het netwerk te waarborgen. [cisco]
Een kritiek beveiligingslek in de LayerSlider WordPress plugin, gebruikt op meer dan een miljoen websites, stelt deze sites bloot aan een ongeautoriseerde SQL-injectie. Het lek, ontdekt door onderzoeker AmrAwad en gemeld aan WordPress beveiligingsfirma Wordfence, draagt een CVSS-score van 9.8 en betreft versies 7.9.11 tot 7.10.0 van de plugin. Dit probleem maakt het mogelijk voor aanvallers om gevoelige gegevens zoals wachtwoordhashes te extraheren, wat de veiligheid van de websites ernstig in gevaar brengt. De kwetsbaarheid ligt in de onjuiste afhandeling van de 'id' parameter binnen een functie van de plugin, waardoor SQL-code injectie mogelijk is zonder dat de aanvaller geauthenticeerd hoeft te zijn. Ondanks de snelle respons van de ontwikkelaars van LayerSlider, die binnen 48 uur een beveiligingsupdate uitbrachten, onderstreeptdit incident het belang voor websitebeheerders om plugins actueel te houden, onnodige plugins uit te schakelen, sterke wachtwoorden te gebruiken, en inactieve accounts te deactiveren om dergelijke risico's te beperken. [wordfence]
Ivanti, een IT-beveiligingssoftwarebedrijf, heeft recent patches uitgebracht voor meerdere beveiligingskwetsbaarheden die hun Connect Secure en Policy Secure gateways treffen. Een van deze kwetsbaarheden, gemarkeerd als CVE-2024-21894, stelt ongeauthenticeerde aanvallers in staat om op afstand code uit te voeren en denial of service (DoS) aanvallen te veroorzaken zonder gebruikersinteractie. Deze kwetsbaarheid, veroorzaakt door een heap overflow in de IPSec-component, kan in bepaalde configuraties worden uitgebuit, hoewel Ivanti geen details heeft verstrekt over welke configuraties kwetsbaar zijn. Naast CVE-2024-21894 zijn er nog drie andere kwetsbaarheden gepatcht die eveneens DoS-aanvallen mogelijk maken. De onthulling van deze beveiligingsproblemen komt op een moment dat duizenden Ivanti endpoints online blootgesteld staan en reeds doelwit zijn geweest van aanvallen door nationale actoren. Eerdere kwetsbaarheden in Ivanti-software werden misbruikt in grootschalige aanvallen om aangepaste malware te verspreiden. Ivanti heeft gedetailleerde instructies verstrekt voor het toepassen van de beveiligingspatches, benadrukkend het belang van het beveiligen van deze systemen tegen verdere aanvallen. [ivanti]
Google heeft snel gehandeld om een high-severity zero-day kwetsbaarheid in Chrome te dichten, die aan het licht kwam tijdens de Pwn2Own hackwedstrijd vorige maand. Deze kwetsbaarheid, geïdentificeerd als CVE-2024-3159, bevond zich in de V8 JavaScript-engine van Chrome en stelde aanvallers in staat om gevoelige informatie te verkrijgen of crashes te veroorzaken door middel van heap corruption. De kwetsbaarheid werd met succes uitgebuit door de beveiligingsonderzoekers Edouard Bochin en Tao Yan van Palo Alto Networks, die een indrukwekkende dubbele aanval demonstreerden. Hiermee konden zij willekeurige code uitvoeren in zowel Google Chrome als Microsoft Edge, wat hen een prijs van $42.500 opleverde. Google heeft deze kwetsbaarheid nu gepatcht in de nieuwste stabiele versie van Chrome, die wereldwijd zal worden uitgerold. Dit markeert de vierde Chrome zero-day die Google dit jaar heeft gepatcht, naast het aanpakken van twee Android zero-days. Deze snelle patches volgen op de onthulling van verschillende andere kritieke zwakheden tijdens Pwn2Own, waaronder een type confusion in WebAssembly en een use-after-free in de WebCodecs API, die beide ook door Google zijn aangepakt. [mitre.org, mitre.org, googleblog, mitre.org]
Google heeft onlangs twee zerodaylekken gerepareerd in haar Pixel-telefoons, die door forensische bedrijven werden geëxploiteerd voor data-extractie en het omzeilen van fabrieksresets. Deze kwetsbaarheden, bekend onder de codes CVE-2024-29745 en CVE-2024-29748, waren gelokaliseerd in de bootloader en de firmware van de Pixel-toestellen. De specificaties van deze lekken zijn uitgelicht door de ontwikkelaars van GrapheneOS, een Android-gebaseerd systeem voor Pixel-telefoons. Het eerste lek betrof een probleem in de fastboot-firmware, waardoor forensische teams de telefoons konden herstarten voor een geheugendump, leidend tot potentieel brute-force aanvallen. Het tweede lek maakte het mogelijk om een door een app veroorzaakte fabrieksreset te blokkeren. Google heeft deze kwetsbaarheden gepatcht in de beveiligingsupdate met patchniveau 2024-04-05, waardoor Pixel-telefoons nu beschermd zijn tegen deze specifieke aanvallen.
April release of the Pixel boot chain firmware includes fixes for 2 vulnerabilities reported by GrapheneOS which are being actively exploited in the wild by forensic companies:https://t.co/W9OjQcfZ30https://t.co/UWAaA9er57
— GrapheneOS (@GrapheneOS) April 2, 2024
These are assigned CVE-2024-29745 and CVE-2024-29748.
In een recente update heeft Google 28 kwetsbaarheden in het Android-besturingssysteem aangepakt, waaronder een bijzonder kritieke kwetsbaarheid in telefoons met een Qualcomm-chipset. Deze kwetsbaarheid maakte het mogelijk voor aanvallers om de telefoons op afstand te compromitteren. Een specifiek zorgwekkend lek betrof de mogelijkheid voor een kwaadaardige app om zonder interactie van de gebruiker meer rechten te verkrijgen dan toegestaan, wat ernstige gevolgen kan hebben voor de privacy en veiligheid van de gebruiker. Het meest gevaarlijke lek bevond zich in de 'Data Modem' van toestellen met een Qualcomm-chipset, waarbij een aanvaller een buffer overflow kon veroorzaken tijdens een bepaald handshakingsproces, waardoor ongeautoriseerde code uitgevoerd kon worden. Deze kwetsbaarheid kreeg een hoge risicobeoordeling van 9.8 op een schaal van 10. Google's april-updates, die ook patches bevatten voor onderdelen van andere chipfabrikanten zoals MediaTek en Arm, zijn nu beschikbaar voor Android versies 12, 12L, 13, en 14. Deze updates introduceren verbeterde beveiligingsniveaus, met patchniveaus aangeduid als '2024-04-01' of '2024-04-05'. Androidtoestelfabrikanten zijn reeds geïnformeerd over deze kwetsbaarheden en hebbenupdates ontwikkeld, hoewel niet alle toestellen gegarandeerd deze updates zullen ontvangen, afhankelijk van ondersteuning door de fabrikant. [qualcomm]
De ontwikkelingsteams achter de XZ datacompressietool zijn begonnen met een grondig onderzoek nadat er recent een backdoor in de software werd ontdekt. Deze kwetsbaarheid maakte het mogelijk voor aanvallers om schadelijke code op getroffen systemen uit te voeren. De ontdekking van de backdoor heeft tot grote bezorgdheid geleid, zowel bij de ontwikkelaars als bij diverse overheidsdiensten wereldwijd. XZ, breed gebruikt voor datacompressie in vele Linux-distributies, kwam onder vuur te liggen nadat bleek dat een medewerker van het project de backdoor had geïntroduceerd. De ontdekking werd gedaan te midden van de vakantie van hoofdontwikkelaar Lasse Collin, die hierdoor onverwachts werd opgeroepen om actie te ondernemen. Overheidsinstanties zoals het Nationaal Cyber Security Centrum, het Amerikaanse CISA, het Duitse BSI, en het Nederlandse Digital Trust Center hebben urgente adviezen uitgebracht om getroffen versies van Linux-distributies te vermijden en waar mogelijk te downgraden naar veiligere versies. De zaak heeft de aandacht getrokken van cyberbeveiligingsexperts wereldwijd, waaronder Rob Mensching, die een gedetailleerde analyse van de aanval publiceerde. Deze incident onderstreept het belang van grondige security checks binnen de ontwikkelingsfasen van software en het kritisch beoordelen van bijdragen van nieuwe medewerkers, om de integriteit en veiligheid van open-sourceprojecten te waarborgen. [lkml, ncsc]
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
🇳🇱 🇬🇧
🇳🇱 🇬🇧