Analyse van kwetsbaarheden op het gebied van cyberbeveiliging november 2024
Reading in 🇬🇧 or another language
Een ernstige kwetsbaarheid in de wachtwoordresetfunctie van Facebook, waardoor aanvallers accounts konden overnemen zonder dat de gebruiker iets hoefde te doen, is opgelost. Ontdekt door beveiligingsonderzoeker Samip Aryal en gerapporteerd op 30 januari, stelde deze kwetsbaarheid aanvallers in staat om toegang te krijgen tot accounts door misbruik te maken van de methode waarop Facebook zescijferige resetcodes verzendt. Deze codes, die bedoeld zijn om het wachtwoord te resetten, bleven twee uur actief en waren vatbaar voor bruteforce-aanvallen vanwege het ontbreken van bescherming tegen dergelijke aanvallen. Om de aanval uit te voeren, was het noodzakelijk dat de aanvaller in naam van het slachtoffer een wachtwoordreset aanvroeg, waarna de gebruiker een notificatie ontving. Afhankelijk van de instellingen van de gebruiker, kon de aanval zonder of met minimale interactie van de gebruiker worden voltooid, waarbij alleen een klik op een notificatie nodig was. Facebook heeft een beloningssysteem voor het melden van dergelijke kwetsbaarheden, waarbij tot $130.000 wordt uitgekeerd voor het vinden van een exploit die geen interactie van de gebruiker vereist, en tot $50.000 voor exploits die een enkele klik nodig hebben. Het exacte bedrag dat voor deze specifieke kwetsbaarheid is uitgekeerd, is niet bekendgemaakt. [1, 2, 3]
De Britse National Cyber Security Centre (NCSC) heeft gewaarschuwd dat de meerderheid van de firewalls, VPN-servers en andere netwerkbeveiligingsproducten kwetsbaar zijn voor cyberaanvallen. Deze producten, die vaak de eerste verdedigingslinie van een netwerk vormen, zijn niet ontworpen met 'security by design' en bevatten kwetsbaarheden die gemakkelijk te exploiteren zijn door cybercriminelen. Het NCSC benadrukt dat aanvallers hun focus hebben verlegd van cliëntsoftware naar deze netwerkapparaten, waardoor de beveiliging van netwerken verder in gevaar komt. Zeroday-aanvallen, waarbij gebruik wordt gemaakt van nog onbekende kwetsbaarheden, zijn een toenemende dreiging, waarbij recente aanvallen op netwerkproducten van onder andere Ivanti en NetScaler zijn uitgevoerd. Het NCSC adviseert organisaties om van hun leveranciers bewijs van veiligheid te eisen en stelt dat in de toekomst netwerken zodanig ontworpen moeten worden dat er geen poorten meer vanaf het internet toegankelijk zijn. Deze waarschuwing volgt op een vergelijkbare boodschap van het Nederlandse Nationaal Cyber Security Centrum, dat ook de toename van aanvallen op publiekelijk toegankelijke netwerkapparaten zoals firewalls, VPN-servers en e-mailservers benadrukt. De Britse overheid werkt aan het bevorderen van 'secure by design'-producten, maar erkent dat dit proces tijd vereist. Tot die tijd blijven netwerken kwetsbaar voor aanvallen via internettoegankelijke producten. [1]
Deurbelcamera's van fabrikant Eken, die onder verschillende merknamen verkocht worden, blijken eenvoudig overneembaar door onbevoegden. Dit probleem, aangekaart door de Amerikaanse consumentenorganisatie Consumer Reports, stelt aanvallers in staat om permanent mee te kijken met de videofeed. Het proces vereist slechts het aanmaken van een account via de Aiwit-app, waarna de aanvaller de deurbel in pairingmode kan zetten en verbinden met een wifi-netwerk om volledige controle te verkrijgen. Zelfs na ontkoppeling kan de aanvaller door het verkrijgen van het serienummer van de camera, blijven meekijken zonder melding aan de eigenaar. Daarbij versturen deze camera's gevoelige informatie zoals het IP-adres en de wifi-netwerknaam onversleuteld. Ondanks de melding van deze ernstige beveiligingsproblemen aan Eken, heeft de fabrikant nog niet gereageerd. Dit roept serieuze vragen op over de privacy en veiligheid van consumenten die deze populaire deurbelcamera's, die ook in Nederland verkrijgbaar zijn, gebruiken. [1, 2]
QNAP heeft een waarschuwing uitgegeven aan gebruikers van hun NAS-systemen over de noodzaak om belangrijke updates uit te voeren voor myQNAPcloud Link om de dienst na 29 februari te kunnen blijven gebruiken. Deze update is essentieel voor gebruikers die hun NAS-systeem via het internet benaderen met een unieke domeinnaam, aangezien QNAP aanzienlijke 'architecturale aanpassingen' en 'beveiligingsverbeteringen' heeft doorgevoerd. Deze verbeteringen zijn ontworpen om de veiligheid en betrouwbaarheid van verbindingen te verhogen. Om van de verbeterde veiligheid te profiteren, dienen gebruikers niet alleen myQNAPcloud Link, maar ook de bijbehorende QNAP-app op hun telefoon en het QTS-besturingssysteem op hun NAS te upgraden. Indien gebruikers deze updates niet uitvoeren, verliezen ze vanaf 29 februari de mogelijkheid om via de mobiele app verbinding te makenmet hun NAS. Voor diegenen die niet in staat zijn te updaten, biedt QNAP een alternatieve oplossing door port forwarding op de router in te stellen. [1]
Een kritieke kwetsbaarheid in de populaire WordPress plug-in Ultimate Member heeft zo'n 120.000 websites in gevaar gebracht. Ultimate Member, een tool voor het beheren van gebruikersprofielen en abonnementen op meer dan 200.000 websites, is gevoelig voor SQL-injectie aanvallen die kunnen leiden tot diefstal van gevoelige informatie of zelfs volledige overname van de website. Het beveiligingslek, aangeduid met CVE-2024-1071, heeft een ernstscore van 9.8 uit 10 gekregen. De kwetsbaarheid kan misbruikt worden als de optie 'Enable custom table for usermeta' is ingeschakeld. Een update die het lek dicht, versie 2.8.3, is reeds beschikbaar gesteld door de makers van de plug-in. Desondanks hebben ongeveer 80.000 websites de update geïnstalleerd, wat betekent dat nog steeds rond de 120.000 websites risico lopen. Het incident benadrukt het belang van het tijdig bijwerken van software om beveiligingsrisico's te verminderen. [1, 2]
Een recent ontdekte kritieke kwetsbaarheid, aangeduid als CVE-2024-1212, treft de LoadMaster-loadbalancers van Kemp Technologies. Deze kwetsbaarheid maakt het voor ongeautoriseerde aanvallers mogelijk om, via een speciaal geconstrueerd commando en toegang tot de beheerinterface, willekeurige systeemcommando's uit te voeren op de getroffen apparaten. Deze kwetsbaarheid is beoordeeld met een maximale impactscore van 10.0 en is eveneens aanwezig in de Kemp ECS Connection Manager. Als reactie op de ontdekking heeft Kemp Technologies, dat sinds 2021 onderdeel is van softwarebedrijf Progress, dringend aangeraden om het wachtwoordbeleid aan te scherpen en klanten opgeroepen hun wachtwoorden te wijzigen. Tot dusver zijn er geen meldingen van actief misbruik van deze kwetsbaarheid. Dit onderstreept het belang van proactieve beveiligingsmaatregelen en het tijdig bijwerken van systemen om mogelijke overnames van cruciale netwerkapparatuur te voorkomen. [1, 2]
In het Joomla content management systeem zijn vijf kwetsbaarheden ontdekt die aanvallers de mogelijkheid zouden kunnen geven om willekeurige code uit te voeren op getroffen websites. Deze beveiligingsproblemen, die meerdere versies van Joomla beïnvloeden, zijn inmiddels verholpen in de CMS-versies 5.0.3 en 4.4.3. De kwetsbaarheden omvatten onder meer onvoldoende beëindiging van gebruikerssessies bij wijzigingen in MFA-methoden, ontoereikende URL-parsing die kan leiden tot open redirects, en onvoldoende inputvalidatie voor mediaselectievelden die tot cross-site scripting (XSS) kwetsbaarheden leiden in verschillende uitbreidingen en componenten. De meest ernstige, met een hoge exploitatiekans, betreft een XSS-kwetsbaarheid die misbruikt kan worden voor het injecteren van kwaadaardige scripts via de browser van het slachtoffer. Ondanks dat uitbuiting van deze kwetsbaarheid interactie van de gebruiker vereist, waarschuwen experts dat aanvallers geraffineerde lokmiddelen kunnen gebruiken of grootschalige "spray-and-pray" aanvallen kunnen uitvoeren. Joomla heeft aangedrongen op een snelle update naar de nieuwste versie om deze risico's te beperken, zonder daarbij technische details vrij te geven om een breed scala aan Joomla-beheerders de tijd te geven de beveiligingsupdates toe te passen. [1]
ConnectWise heeft onlangs twee ernstige kwetsbaarheden bekendgemaakt in ScreenConnect, een software voor toegang tot en beheer van op afstand bedienbare desktops. Deze kwetsbaarheden, met de identificatienummers CVE-2024-1708 en CVE-2024-1709, werden snel na de bekendmaking door aanvallers benut. De eerste kwetsbaarheid maakt het mogelijk om authenticatie te omzeilen, terwijl de tweede een probleem met padoverschrijding betreft, beide met aanzienlijke gevolgen voor de veiligheid van ScreenConnect-servers tot versie 23.9.7. ConnectWise heeft gebruikers aangespoord om hun systemen onmiddellijk bij te werken naar versie 23.9.8 om de risico's te beperken. In reactie op de aanvallen heeft de cybersecurityfirma Huntress de kwetsbaarheden onderzocht en gevonden dat de ontwikkeling van een exploit relatief eenvoudig is. Hun analyse benadrukt hoe een aanvaller door middel van een speciaal geconstrueerde aanvraag toegang kon krijgen tot de setup wizard van ScreenConnect om een nieuw beheerdersaccount aan te maken en de controle over te nemen. Daarnaast maakt de padoverschrijdingsfout het mogelijk voor aanvallers om gevoelige bestanden buiten de bedoelde directories aan te passen of te benaderen. ConnectWise en Huntress hebben beide de ernst van deze kwetsbaarheden onderstreept en dringen er bij beheerders op aan om de nodige updates toe te passen en hun systemen te controleren op tekenen van inbreuk. [1]
VMware heeft beheerders opgeroepen om een verouderde authentificatieplugin, die vatbaar is voor aanvallen via authenticatierelay en sessiekaap in Windows-domeinomgevingen, te verwijderen. Deze oproep komt na het ontdekken van twee ongepatchte beveiligingslekken. De VMware Enhanced Authentication Plug-in (EAP), die bijna drie jaar geleden, in maart 2021, officieel is afgeschreven, maakte naadloze aanmelding mogelijk op vSphere's beheerinterfaces via geïntegreerde Windows-authenticatie. De beveiligingslekken, geïdentificeerd als CVE-2024-22245 met een CVSSv3-basisscore van 9,6/10 en CVE-2024-22250 met een score van 7,8/10, stellen kwaadwillenden in staat Kerberos-diensttickets door te sturen en bevoorrechte EAP-sessies over te nemen. VMware heeft aangegeven dat er momenteel geen bewijs is dat de kwetsbaarheden actief zijn uitgebuit. Beheerders worden aangeraden de plugin en bijbehorende Windows-service te verwijderen of uit te schakelen. Als alternatief voor de kwetsbare plugin biedt VMware andere authenticatiemethoden aan, zoals Active Directory over LDAPS en Microsoft Entra ID. Dit advies komt te midden van berichten over actieve exploitatie van andere kritieke beveiligingslekken in VMware-producten. [1, 2]
ConnectWise heeft een dringende waarschuwing uitgegeven aan beheerders van ScreenConnect servers om onmiddellijk een beveiligingsupdate uit te voeren ter bescherming tegen een kritieke kwetsbaarheid die aanvallers in staat stelt tot het uitvoeren van code op afstand (Remote Code Execution, RCE). Deze kwetsbaarheid, die verband houdt met een zwakte in de authenticatiebypass, maakt het mogelijk voor aanvallers om toegang te krijgen tot vertrouwelijke gegevens of willekeurige code op afstand uit te voeren op kwetsbare servers zonder dat er complexe aanvalstechnieken of gebruikersinteractie nodig is. ConnectWise heeft ook een kwetsbaarheid voor padoverschrijding in haar software voor externe desktops gepatcht, die alleen door hooggeprivilegieerde aanvallers kan worden misbruikt. De kwetsbaarheden, gerapporteerd op 13 februari 2024, hebben nog geen CVE-IDs ontvangen en beïnvloeden alle servers met ScreenConnect versie 23.9.7 en eerder. Cloudservers gehost op screenconnect.com of hostedrmm.com zijn reeds beveiligd, maar beheerders van on-premise software worden aangeraden hun servers onmiddellijk te updaten naar versie 23.9.8. Onderzoekers van Huntress hebben een proof-of-concept exploit ontwikkeld die de authenticatiebypass op ongepatchte servers kan uitvoeren, waarbij ze meer dan 8.800 kwetsbare servers vonden via het Censys exposure management platform. Dit volgt op waarschuwingen van CISA, NSA, en MS-ISAC over het toenemende gebruik van legitieme software voor remote monitoring en management (RMM), zoals ConnectWise ScreenConnect, voor kwaadaardige doeleinden door aanvallers. [1, 2]
Onlangs is een kritieke beveiligingskwetsbaarheid, geïdentificeerd als CVE-2024-21410, aan het licht gekomen die tot 97.000 Microsoft Exchange servers kan beïnvloeden. Deze kwetsbaarheid maakt het mogelijk voor ongeautoriseerde externe actoren om NTLM relay-aanvallen uit te voeren en hun privileges op de servers te escaleren. Microsoft heeft de kwetsbaarheid aangepakt op 13 februari, maar op dat moment was deze al actief uitgebuit. Een recente scan door de Shadowserver-dienst onthulde dat ongeveer 28.500 servers bevestigd kwetsbaar zijn, terwijl de veiligheidsstatus van nog eens 68.500 servers afhankelijk is van de toepassing van mitigaties door beheerders. Deze kwetsbaarheid heeft vooral impact in Duitsland, de Verenigde Staten en het Verenigd Koninkrijk, met duizenden potentieel kwetsbare instances. Om deze kwetsbaarheid aan te pakken, wordt systeembeheerders aangeraden om de Cumulative Update 14 (CU14) voor Exchange Server 2019 te installeren, die NTLM-credential Relay Beschermingen biedt. De Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) heeft CVE-2024-21410 toegevoegd aan haar catalogus van bekend uitgebuite kwetsbaarheden, met een deadline voor federale agentschappen om de nodige updates of mitigaties toe te passen. De gevolgen van een exploitatie van deze kwetsbaarheid kunnen ernstig zijn, aangezien aanvallers met verhoogde permissies toegang kunnen krijgen tot vertrouwelijke informatie en de server kunnen gebruiken als opstapje voor verdere aanvallen binnen het netwerk. [1, 2]
Bron: Shadowserver
Microsoft heeft recentelijk een update gegeven over een kritieke kwetsbaarheid in Outlook, aangeduid als CVE-2024-21413, die aanvankelijk foutief werd gemeld als actief misbruikt in de vorm van een zerodaylek. Deze foutieve informatie is nu gecorrigeerd; het bedrijf bevestigt dat er geen sprake was van misbruik voordat de beveiligingsupdate werd vrijgegeven. Het lek maakt het mogelijk voor aanvallers om op afstand code uit te voeren door de Office Protected View-beveiliging te omzeilen. Dit houdt in dat een malafide document direct in de bewerkingsmodus wordt geopend in plaats van in de beveiligde weergave, zelfs zonder dat het slachtoffer het document actief opent. Het lek, met een ernstscore van 9.8 op een schaal van 1 tot 10, werd breed gecommuniceerd door veiligheidsinstanties zoals het Nationaal Cyber Security Centrum (NCSC), het Digital Trust Centrum en de Australische overheid, vanwege de beschikbaarheid van proof-of-concept exploitcode en het daarmee verhoogde risico op toekomstig misbruik. [1]
Een ernstige kwetsbaarheid, genaamd KeyTrap, is ontdekt in de DNSSEC (Domain Name System Security Extensions), waardoor internettoegang voor applicaties voor een langere tijd kan worden ontzegd. Deze kwetsbaarheid, aangeduid als CVE-2023-50387, is een ontwerpprobleem in DNSSEC en beïnvloedt alle populaire DNS-implementaties of -diensten. Het stelt een externe aanvaller in staat een langdurige denial-of-service (DoS) toestand te veroorzaken bij kwetsbare resolvers door slechts één DNS-pakket te versturen. DNSSEC brengt cryptografische handtekeningen naar DNS-records, wat authenticatie van reacties biedt; dit zorgt ervoor dat DNS-gegevens van de bron komen en niet zijn aangepast. Deze kwetsbaarheid is aanwezig in de DNSSEC-standaard sinds 1999 en werd pas na bijna 25 jaar ontdekt vanwege de complexiteit van DNSSEC-validatievereisten. Onderzoekers hebben een nieuwe klasse van DNSSEC-gebaseerde algoritmische complexiteitsaanvallen ontwikkeld die de CPU-instructietelling in een DNS-resolver met 2 miljoen keer kunnen verhogen, waardoor de reactie wordt vertraagd. De gevolgen van deze aanval kunnen variëren van 56 seconden tot wel 16 uur vertraging. Na de ontdekking van KeyTrap hebben onderzoekers samengewerkt met DNS-dienstverleners zoals Google en Cloudflare om maatregelen te ontwikkelen. Ondanks dat er al oplossingen zijn geïmplementeerd, wijst de ontdekking van KeyTrap op de noodzaak van een heroverweging van het DNSSEC-ontwerpfilosofie om dergelijke kwetsbaarheden op een fundamenteel niveau aan te pakken. [1, 2, pdf]
Een recent beveiligingsincident bij camerafabrikant Wyze heeft geleid tot een zorgwekkende situatie waarbij gebruikers onbedoeld konden meekijken in de woningen van anderen. Het bedrijf erkent dat een storing bij Amazon Web Services (AWS) heeft geleid tot overbelasting van sommige servers, wat op zijn beurt gebruikersdata heeft aangetast. Hierdoor ontvingen meerdere gebruikers pushnotificaties met afbeeldingen van camerafeeds van andere gebruikers, waaronder zelfs beelden van woonkamers. Wyze heeft gereageerd door het betreffende tabblad uit te schakelen en belooft getroffen gebruikers zo snel mogelijk te informeren. Hoewel het bedrijf aangeeft dat het niet mogelijk was om livestreams of video's te bekijken, roept dit incident opnieuw vragen op over de veiligheid en privacy van IoT-apparaten. Dit is niet de eerste keer dat Wyze te maken heeft met dergelijke problemen, wat de noodzaak benadrukt voor fabrikanten om de beveiliging van hun apparaten serieus te nemen en gebruikers op de hoogte te houden van mogelijke risico's. [1, 2]
SolarWinds heeft onlangs vijf kwetsbaarheden voor externe code-uitvoering (RCE) in zijn Access Rights Manager (ARM) oplossing gerepareerd. Drie van deze kwetsbaarheden werden als kritiek geclassificeerd omdat ze zonder authenticatie konden worden uitgebuit. De Access Rights Manager wordt gebruikt door bedrijven om toegangsrechten binnen hun IT-infrastructuur te beheren en te auditen, met als doel de impact van interne dreigingen te minimaliseren. De kritieke kwetsbaarheden zijn te wijten aan padtraversering en deserialisatie van onbetrouwbaar data. Aanvallers konden deze lekken benutten om code uit te voeren op systemen die niet gepatcht zijn. SolarWinds heeft de lekken gerepareerd in versie 2023.2.3 van Access Rights Manager, uitgebracht met bugfixes en beveiligingsupdates. Deze kwetsbaarheden waren ontdekt door onderzoekers in samenwerkingmet Trend Micro's Zero Day Initiative. Er zijn geen meldingen ontvangen dat deze kwetsbaarheden actief zijn uitgebuit. De reparatie van deze kwetsbaarheden toont SolarWinds' toewijding aan veilige softwareontwikkeling en de belangrijkheid van verantwoorde openbaarmaking binnen de industrie. [1]
Meer dan 13.000 Ivanti Connect Secure en Policy Secure endpoints zijn nog steeds kwetsbaar voor meerdere beveiligingsproblemen die meer dan een maand geleden zijn onthuld. Deze kwetsbaarheden, met ernst van hoog tot kritisch, omvatten problemen zoals authenticatie-omzeiling, serverzijde-verzoekvervalsing, willekeurige commando-uitvoering en commando-injectie. Sommige van deze beveiligingslekken zijn al uitgebuit door staatshackers voordat ze op grotere schaal werden benut door een breed scala aan dreigingsactoren. Een recente rapportage toont aan dat er een piek was in scanactiviteit gericht op een specifieke kwetsbaarheid, wat duidt op een toenemende interesse van potentiële aanvallers. Meer dan 3.900 Ivanti endpoints zijn kwetsbaar bevonden voor een XXE-kwetsbaarheid, met de meerderheid in de Verenigde Staten. Ondanks dat beveiligingsupdates voor vier kwetsbaarheden meer dan een maand geleden beschikbaar werden gesteld, blijft meer dan de helft van de internetblootgestelde Ivanti-servers ongepatcht, waardoor 19.132 servers blootgesteld blijven aan een gevaarlijke ongeautoriseerde toegangsflaw. De snelle onthulling van de kwetsbaarheden in Ivanti-producten heeft het voor beheerders moeilijk gemaakt om patches tijdig toe te passen, waardoor het risico toeneemt dat Ivanti-systemen langdurig kwetsbaar blijven. [1]
Zoom heeft een kritisch privilege escalatieprobleem opgelost in zijn desktop- en VDI-clients, evenals in de Meeting SDK voor Windows. Het probleem betreft een foutieve invoervalidatie die het mogelijk maakt voor een ongeauthenticeerde aanvaller om via het netwerk privilege escalatie uit te voeren op het doelsysteem. De kwetsbaarheid, gevolgd als CVE-2024-24691 en ontdekt door het offensieve beveiligingsteam van Zoom, heeft een CVSS v3.1-score van 9.6, wat het als "kritiek" bestempelt. De impact strekt zich uit tot verschillende productversies, waaronder Zoom Desktop Client, Zoom VDI Client en Zoom Meeting SDK. Naast deze kwestie pakt de nieuwste Zoom-release ook zes andere kwetsbaarheden aan, variërend van informatie-onthulling tot het mogelijk maken van denial of service en onjuiste authenticatie. Gebruikers wordt dringend geadviseerd de beveiligingsupdate toe te passen om het risico op misbruik door externe partijen te verminderen en potentiële gevolgen zoals datadiefstal, verstoring van vergaderingen en installatie van achterdeuren te voorkomen. [1, 2, 3]
Een ernstig beveiligingslek in Microsoft Outlook, ontdekt door onderzoeker Haifei Li van Check Point en genoteerd als CVE-2024-21413, stelt ongeautoriseerde externe aanvallers in staat om zonder veel moeite schadelijke code uit te voeren. Dit lek maakt het mogelijk om de Office Protected View, een functie bedoeld om schadelijke inhoud in Office-bestanden te blokkeren door ze alleen-lezen te openen, te omzeilen en kwaadaardige Office-bestanden in bewerkingsmodus te openen. Het voorbeeldvenster van Outlook dient ook als aanvalskanaal, waardoor de exploitatie slaagt bij het voorvertonen van kwaadaardig ontworpen Office-documenten. De kwetsbaarheid maakt complexe aanvallen mogelijk zonder enige interactie van de gebruiker, waardoor aanvallers hoge privileges kunnen verkrijgen, inclusief lees-, schrijf- en verwijderfuncties. Dit lek, dat meerdere Office-producten beïnvloedt, waaronder Microsoft Office LTSC 2021 en Microsoft 365 Apps voor Bedrijven, evenals Microsoft Outlook 2016 en Microsoft Office 2019, maakt diefstal van NTLM-inloggegevens mogelijk en voert willekeurige code uit via kwaadaardig vervaardigde Office-documenten. Microsoft heeft de beveiligingsadvies voor CVE-2024-21413 bijgewerkt, aanvankelijk aangevend dat het lek actief werd misbruikt, maar trok dit later terug. Het bedrijf adviseert Outlook-gebruikers dringend de officiële patch toe te passen om bescherming te bieden tegen mogelijke exploits. [1, 2, 3, 4]
Een logische fout in het 'command-not-found' systeem van Ubuntu, dat pakketten voorstelt wanneer bepaalde commando's niet worden gevonden, kan worden misbruikt om kwaadaardige Linux-pakketten te promoten bij nietsvermoedende gebruikers. Dit probleem ontstaat omdat het systeem snap-pakketten kan aanbevelen zonder een validatiemechanisme om de authenticiteit en veiligheid van deze pakketten te garanderen. Onderzoekers van Aqua Nautilus ontdekten dat ongeveer 26% van de Advanced Package Tool (APT) commando's vatbaar is voor impersonatie door kwaadaardige snap-pakketten, wat een aanzienlijk risico vormt voor zowel Linux als Windows Subsystem voor Linux (WSL) gebruikers. De 'command-not-found' utility, een Python script, suggereert pakketten voor installatie om bepaalde programma's te kunnen gebruiken die nog niet geïnstalleerd zijn. Echter, zondergrondige controle in de onderliggende lagen van de supply chain, kunnen kwaadaardige pakketten als suggesties worden aangeboden. Dit is vooral problematisch gezien het relatief eenvoudig is voor aanvallers om malafide snaps te publiceren in de Snap Store, gezien de minder strenge beoordelingsprocessen vergeleken met APT-pakketten. Dit kwetsbaarheidsscenario wordt verder verergerd door methoden zoals typo-squatting en het registreren van niet-geclaimde snap-namen, die gebruikers zouden verwachten te bestaan. Bovendien kunnen aanvallers malafide snap-pakketten registreren voor legitieme APT-pakketten, waardoor de 'command-not-found' utility deze naast legitieme opties suggereert. Hoewel de omvang van de exploitatie van deze kwetsbaarheden onbekend is, zijn er al minstens twee gevallen aan het licht gekomen. Als mitigatiemaatregelen kunnen gebruikers de authenticiteit van pakketten verifiëren voordat ze deze installeren, en kunnen ontwikkelaars en onderhouders van pakketten proactief namen registreren die lijken op hun apps of de bijbehorende snap-naam voor hun commando's claimen. [1]
Op 13 februari 2024 heeft Microsoft tijdens haar Patch Tuesday 73 beveiligingsfouten en twee actief uitgebuite zero-day kwetsbaarheden aangepakt. Dit omvat de reparatie van vijf kritieke kwetsbaarheden, waaronder fouten die kunnen leiden tot ontkenning van dienst, uitvoering van externe code, informatielekken, en verhoging van bevoegdheden. De updates omvatten een breed scala aan kwetsbaarheden, waaronder 16 verhogingen van bevoegdheden, 3 beveiligingsfunctie-omzeilingen, 30 externe code uitvoeringen, 5 informatiedisclosures, 9 ontkenningen van dienst, en 10 spoofing kwetsbaarheden. Van bijzondere aandacht zijn de twee zero-day kwetsbaarheden die met deze update zijn verholpen. De eerste, een Windows SmartScreen beveiligingsfunctie omzeilingskwetsbaarheid (CVE-2024-21351), stelde aanvallers in staat om SmartScreen-beveiligingscontroles te omzeilen. De tweede, een kwetsbaarheid in Internet Shortcut Files (CVE-2024-21412), maakte het mogelijk om waarschuwingen van de Mark of the Web (MoTW) in Windows te omzeilen. Deze updates volgen naast de reguliere beveiligingspatches voor andere Microsoft-producten en diensten, waarmee Microsoft zijn toewijding aan de veiligheid van zijn gebruikers en systemen blijft tonen.
Tag | CVE ID | CVE Title | Ernst |
---|---|---|---|
.NET | CVE-2024-21386 | .NET Denial of Service Vulnerability | Important |
.NET | CVE-2024-21404 | .NET Denial of Service Vulnerability | Important |
Azure Active Directory | CVE-2024-21401 | Microsoft Entra Jira Single-Sign-On Plugin Elevation of Privilege Vulnerability | Important |
Azure Active Directory | CVE-2024-21381 | Microsoft Azure Active Directory B2C Spoofing Vulnerability | Important |
Azure Connected Machine Agent | CVE-2024-21329 | Azure Connected Machine Agent Elevation of Privilege Vulnerability | Important |
Azure DevOps | CVE-2024-20667 | Azure DevOps Server Remote Code Execution Vulnerability | Important |
Azure File Sync | CVE-2024-21397 | Microsoft Azure File Sync Elevation of Privilege Vulnerability | Important |
Azure Site Recovery | CVE-2024-21364 | Microsoft Azure Site Recovery Elevation of Privilege Vulnerability | Moderate |
Azure Stack | CVE-2024-20679 | Azure Stack Hub Spoofing Vulnerability | Important |
Internet Shortcut Files | CVE-2024-21412 | Internet Shortcut Files Security Feature Bypass Vulnerability | Important |
Mariner | CVE-2024-21626 | Unknown | Unknown |
Microsoft ActiveX | CVE-2024-21349 | Microsoft ActiveX Data Objects Remote Code Execution Vulnerability | Important |
Microsoft Azure Kubernetes Service | CVE-2024-21403 | Microsoft Azure Kubernetes Service Confidential Container Elevation of Privilege Vulnerability | Important |
Microsoft Azure Kubernetes Service | CVE-2024-21376 | Microsoft Azure Kubernetes Service Confidential Container Remote Code Execution Vulnerability | Important |
Microsoft Defender for Endpoint | CVE-2024-21315 | Microsoft Defender for Endpoint Protection Elevation of Privilege Vulnerability | Important |
Microsoft Dynamics | CVE-2024-21393 | Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability | Important |
Microsoft Dynamics | CVE-2024-21389 | Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability | Important |
Microsoft Dynamics | CVE-2024-21395 | Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability | Important |
Microsoft Dynamics | CVE-2024-21380 | Microsoft Dynamics Business Central/NAV Information Disclosure Vulnerability | Critical❗️ |
Microsoft Dynamics | CVE-2024-21328 | Dynamics 365 Sales Spoofing Vulnerability | Important |
Microsoft Dynamics | CVE-2024-21394 | Dynamics 365 Field Service Spoofing Vulnerability | Important |
Microsoft Dynamics | CVE-2024-21396 | Dynamics 365 Sales Spoofing Vulnerability | Important |
Microsoft Dynamics | CVE-2024-21327 | Microsoft Dynamics 365 Customer Engagement Cross-Site Scripting Vulnerability | Important |
Microsoft Edge (Chromium-based) | CVE-2024-1284 | Chromium: CVE-2024-1284 Use after free in Mojo | Unknown |
Microsoft Edge (Chromium-based) | CVE-2024-21399 | Microsoft Edge (Chromium-based) Remote Code Execution Vulnerability | Moderate |
Microsoft Edge (Chromium-based) | CVE-2024-1060 | Chromium: CVE-2024-1060 Use after free in Canvas | Unknown |
Microsoft Edge (Chromium-based) | CVE-2024-1077 | Chromium: CVE-2024-1077 Use after free in Network | Unknown |
Microsoft Edge (Chromium-based) | CVE-2024-1283 | Chromium: CVE-2024-1283 Heap buffer overflow in Skia | Unknown |
Microsoft Edge (Chromium-based) | CVE-2024-1059 | Chromium: CVE-2024-1059 Use after free in WebRTC | Unknown |
Microsoft Exchange Server | CVE-2024-21410 | Microsoft Exchange Server Elevation of Privilege Vulnerability | Critical❗️ |
Microsoft Office | CVE-2024-21413 | Microsoft Outlook Remote Code Execution Vulnerability | Critical❗️ |
Microsoft Office | CVE-2024-20673 | Microsoft Office Remote Code Execution Vulnerability | Important |
Microsoft Office OneNote | CVE-2024-21384 | Microsoft Office OneNote Remote Code Execution Vulnerability | Important |
Microsoft Office Outlook | CVE-2024-21378 | Microsoft Outlook Remote Code Execution Vulnerability | Important |
Microsoft Office Outlook | CVE-2024-21402 | Microsoft Outlook Elevation of Privilege Vulnerability | Important |
Microsoft Office Word | CVE-2024-21379 | Microsoft Word Remote Code Execution Vulnerability | Important |
Microsoft Teams for Android | CVE-2024-21374 | Microsoft Teams for Android Information Disclosure | Important |
Microsoft WDAC ODBC Driver | CVE-2024-21353 | Microsoft WDAC ODBC Driver Remote Code Execution Vulnerability | Important |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-21370 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-21350 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-21368 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-21359 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-21365 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-21367 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-21420 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-21366 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-21369 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-21375 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-21361 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-21358 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-21391 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-21360 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-21352 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
Microsoft Windows | CVE-2024-21406 | Windows Printing Service Spoofing Vulnerability | Important |
Microsoft Windows DNS | CVE-2024-21377 | Windows DNS Information Disclosure Vulnerability | Important |
Role: DNS Server | CVE-2023-50387 | MITRE: CVE-2023-50387 DNSSEC verification complexity can be exploited to exhaust CPU resources and stall DNS resolvers | Important |
Role: DNS Server | CVE-2024-21342 | Windows DNS Client Denial of Service Vulnerability | Important |
Skype for Business | CVE-2024-20695 | Skype for Business Information Disclosure Vulnerability | Important |
SQL Server | CVE-2024-21347 | Microsoft ODBC Driver Remote Code Execution Vulnerability | Important |
Trusted Compute Base | CVE-2024-21304 | Trusted Compute Base Elevation of Privilege Vulnerability | Important |
Windows Hyper-V | CVE-2024-20684 | Windows Hyper-V Denial of Service Vulnerability | Critical❗️ |
Windows Internet Connection Sharing (ICS) | CVE-2024-21343 | Windows Network Address Translation (NAT) Denial of Service Vulnerability | Important |
Windows Internet Connection Sharing (ICS) | CVE-2024-21348 | Internet Connection Sharing (ICS) Denial of Service Vulnerability | Important |
Windows Internet Connection Sharing (ICS) | CVE-2024-21357 | Windows Pragmatic General Multicast (PGM) Remote Code Execution Vulnerability | Critical❗️ |
Windows Internet Connection Sharing (ICS) | CVE-2024-21344 | Windows Network Address Translation (NAT) Denial of Service Vulnerability | Important |
Windows Kernel | CVE-2024-21371 | Windows Kernel Elevation of Privilege Vulnerability | Important |
Windows Kernel | CVE-2024-21338 | Windows Kernel Elevation of Privilege Vulnerability | Important |
Windows Kernel | CVE-2024-21341 | Windows Kernel Remote Code Execution Vulnerability | Important |
Windows Kernel | CVE-2024-21345 | Windows Kernel Elevation of Privilege Vulnerability | Important |
Windows Kernel | CVE-2024-21362 | Windows Kernel Security Feature Bypass Vulnerability | Important |
Windows Kernel | CVE-2024-21340 | Windows Kernel Information Disclosure Vulnerability | Important |
Windows LDAP - Lightweight Directory Access Protocol | CVE-2024-21356 | Windows Lightweight Directory Access Protocol (LDAP) Denial of Service Vulnerability | Important |
Windows Message Queuing | CVE-2024-21363 | Microsoft Message Queuing (MSMQ) Remote Code Execution Vulnerability | Important |
Windows Message Queuing | CVE-2024-21355 | Microsoft Message Queuing (MSMQ) Elevation of Privilege Vulnerability | Important |
Windows Message Queuing | CVE-2024-21405 | Microsoft Message Queuing (MSMQ) Elevation of Privilege Vulnerability | Important |
Windows Message Queuing | CVE-2024-21354 | Microsoft Message Queuing (MSMQ) Elevation of Privilege Vulnerability | Important |
Windows OLE | CVE-2024-21372 | Windows OLE Remote Code Execution Vulnerability | Important |
Windows SmartScreen | CVE-2024-21351 | Windows SmartScreen Security Feature Bypass Vulnerability | Moderate |
Windows USB Serial Driver | CVE-2024-21339 | Windows USB Generic Parent Driver Remote Code Execution Vulnerability | Important |
Windows Win32K - ICOMP | CVE-2024-21346 | Win32k Elevation of Privilege Vulnerability | Important |
Een ernstige kwetsbaarheid in Microsoft Exchange Server, geïdentificeerd als CVE-2024-21410, stelt aanvallers in staat om NTLM relay-aanvallen uit te voeren, waardoor onbevoegde toegang tot e-mailaccounts van gebruikers mogelijk wordt. Microsoft heeft deze kwetsbaarheid, met een risicoscore van 9.8 op een schaal van 10, dringend onder de aandacht gebracht en direct beveiligingsupdates vrijgegeven. NTLM, een authenticatieprotocol gebruikt binnen Microsoft-omgevingen, kan door aanvallers misbruikt worden wanneer zij de hash van een gebruikerswachtwoord onderscheppen. Dit vereist wel dat de aanvaller eerst de hash verkrijgt, bijvoorbeeld door een ander beveiligingslek te exploiteren. Microsoft benadrukt dat vóór de recent uitgebrachte Cumulative Update 14 (CU14) voor Exchange Server 2019, de servers geen standaardbescherming tegen dergelijke aanvallen boden. Met CU14 wordt echter Extended Protection for Authentication (EPA) standaard ingeschakeld, waardoor de beveiliging tegen relay-aanvallen aanzienlijk wordt versterkt. [1, 2]
Slimme fiets- en skihelmen van de fabrikant Livall, bekend om hun ingebouwde bluetooth-speaker en microfoon, hebben de locatiegegevens van ongeveer een miljoen gebruikers gelekt en boden onbevoegden de mogelijkheid om gebruikers af te luisteren. Dit werd ontdekt door Pen Test Partners, een beveiligingsbedrijf, dat vaststelde dat de bijbehorende app van de helmen kwetsbaar was voor bruteforce-aanvallen. Door het raden van een zescijferige groepscode konden kwaadwillenden toegang krijgen tot privégesprekken en locatiegegevens van de gebruikers. Livall reageerde initieel traag op de bevindingen, maar bracht uiteindelijk een update voor hun apps uit, waarbij de toegangscodes zijn veranderd in zes alfanumerieke tekens om het risico op bruteforce-aanvallen te verminderen. Gebruikers dienen hun app te updaten om van deze verbeterde beveiliging te profiteren. Het lek benadrukt het belang van digitale veiligheid binnen slimme apparatuur en de noodzaak voor continue waakzaamheid en updates door fabrikanten om de privacy van hun gebruikers te beschermen. [1]
ExpressVPN heeft de split tunneling functie uit de nieuwste versie van zijn software verwijderd nadat een bug aan het licht kwam die de domeinen die gebruikers bezochten blootstelde aan geconfigureerde DNS-servers. Dit probleem betrof de Windows-versies 12.23.1 tot 12.72.0, uitgegeven tussen 19 mei 2022 en 7 februari 2024, en had alleen invloed op gebruikers die de split tunneling functie gebruikten. Deze functie, die het mogelijk maakt om selectief internetverkeer via de VPN-tunnel te leiden, liet door een fout DNS-verzoeken doorsturen naar de ISP van de gebruiker in plaats van naar ExpressVPN's infrastructuur. Normaal gesproken zouden alle DNS-verzoeken via ExpressVPN's logloze DNS-server gaan om te voorkomen dat ISP's en andere organisaties de bezochte domeinen kunnen traceren. Het lek zorgde ervoor dat sommige DNS-query's naar de op de computer geconfigureerde DNS-server werden gestuurd, waardoor ISP's het browsegedrag van de gebruiker konden volgen. ExpressVPN heeft aangekondigd dat ze de split tunneling functie zullen herintroduceren in een toekomstige release nadat de bug is opgelost. Gebruikers van de getroffen versies worden aangeraden hun client te upgraden naar de nieuwste versie om het lek te voorkomen. [1, 2, 3]
Uit een inventarisatie van de NOS blijkt dat tienduizenden computersystemen wereldwijd, waaronder duizenden in Nederland, ernstig kwetsbaar zijn voor cyberaanvallen. Deze kwetsbaarheden liggen open voor misbruik door zowel cybercriminelen, die ransomware kunnen installeren, als inlichtingendiensten. Recent werd bekend dat de Chinese inlichtingendienst via een dergelijk lek toegang wist te verkrijgen tot een Nederlands defensiesysteem. Ondanks dat sommige lekken, zoals een specifiek lek in Microsoft-systemen en een in serversoftware voor e-mail, al jaren geleden zijn opgelost, blijven ze op grote schaal aanwezig en worden ze actief uitgebuit voor ransomware-aanvallen. Het Nederlandse Dutch Institute for Vulnerability Disclosure (DIVD) speurt actief het internet af naar deze onveilige systemen om eigenaren te waarschuwen en aan te sporen tot actie. Ondanks inspanningen om deze problemen aan te pakken, blijft het een uitdaging voor bedrijven en organisaties om hun systemen tijdig bij te werken. Dit vormt niet alleen een risico voor de directe slachtoffers van de kwetsbare systemen, maar ook voor de bredere samenleving doordat persoonsgegevens in gevaar kunnen komen en internetverbindingen misbruikt kunnen worden voor verdere aanvallen. [1]
Fortinet waarschuwt voor een nieuwe kritieke kwetsbaarheid voor het uitvoeren van externe code (RCE) in FortiOS SSL VPN, die mogelijk wordt misbruikt in aanvallen. De kwetsbaarheid, gevolgd als CVE-2024-21762 / FG-IR-24-015, heeft een ernstigheidsgraad van 9.6 en is een out-of-bounds schrijfkwetsbaarheid in FortiOS die ongeauthenticeerde aanvallers in staat stelt RCE te verkrijgen via kwaadaardig vervaardigde verzoeken. Om het lek te dichten, raadt Fortinet aan te upgraden naar een van de nieuwste versies. Voor degenen die niet in staat zijn patches toe te passen, kan het lek worden beperkt door SSL VPN uit te schakelen op FortiOS-apparaten. Het advies van Fortinet geeft geen details over hoe de kwetsbaarheid wordt misbruikt of wie de kwetsbaarheid heeft ontdekt. Gezien de hoge ernst van het nieuw bekendgemaakte lek en de waarschijnlijkheid van misbruik in aanvallen, wordt sterk aangeraden uw apparaten zo snel mogelijk bij te werken. [1]
Ivanti heeft vandaag gewaarschuwd voor een nieuwe authenticatieomzeilingsfout die van invloed is op Connect Secure, Policy Secure en ZTA gateways, en dringt er bij beheerders op aan hun apparaten onmiddellijk te beveiligen. De kwetsbaarheid (CVE-2024-22024) is te wijten aan een XXE zwakte in de SAML-component van de gateways, waardoor externe aanvallers toegang kunnen krijgen tot beperkte bronnen op niet-gepatchte apparaten in lage-complexiteitsaanvallen zonder gebruikersinteractie of authenticatie. Ivanti heeft geen bewijs van klanten die zijn misbruikt door CVE-2024-22024, maar benadrukt het belang van onmiddellijke actie om volledig beschermd te zijn. De bedreigingsmonitoringplatform Shadowserver volgt momenteel meer dan 20.000 ICS VPN-gateways online, waarvan meer dan 6.000 in de Verenigde Staten. Ivanti-apparaten zijn het doelwit geweest van aanvallen die de CVE-2023-46805 authenticatieomzeiling en de CVE-2024-21887 commando-injectiefouten als zero-days hebben geketend sinds december 2023. Het bedrijf waarschuwt ook voor een derde zero-day (een server-side request forgery kwetsbaarheid, nu gevolgd als CVE-2024-21893), die ook onder massale exploitatie valt. Ivanti heeft beveiligingspatches uitgebracht voor productversies die worden beïnvloed door de drie fouten en biedt ook mitigatie-instructies voor apparaten die niet onmiddellijk kunnen worden beveiligd tegen lopende aanvallen of voor apparaten die nog wachten op een patch. Ivanti dringt er bij klanten op aan alle kwetsbare apparaten terug te zetten naar de fabrieksinstellingen voordat ze worden gepatcht om pogingen van aanvallers om persistentie te verkrijgen tussen software-upgrades te blokkeren. [1, 2]
Fortinet heeft klanten gewaarschuwd voor malware die vorig jaar werd aangetroffen op FortiGate-apparaten van Defensie door de Militaire Inlichtingen- en Veiligheidsdienst (MIVD). Het bedrijf benadrukt het belang van tijdige patching van FortiGate-apparatuur, aangezien aanvallers nog steeds bekende kwetsbaarheden exploiteren waarvoor updates beschikbaar zijn. De betreffende kwetsbaarheden, waaronder CVE-2022-42475 en CVE-2023-27997, werden gebruikt bij aanvallen en hebben patches beschikbaar. Fortinet benadrukt het belang van goede cyberhygiëne en beschrijft de complexiteit van de exploit, wat suggereert dat geavanceerde aanvallers betrokken zijn. De MIVD noemde de malware 'Coathanger' vanwege een string in de code. Het is cruciaal dat organisaties een robuust patchmanagementprogramma hebben om zich te beschermen tegen dergelijke dreigingen. [1]
Cisco heeft meerdere kwetsbaarheden in zijn Expressway Series collaboration gateways gepatcht, waarvan er twee als kritiek zijn beoordeeld en kwetsbare apparaten blootstellen aan cross-site request forgery (CSRF)-aanvallen. Aanvallers kunnen deze kwetsbaarheden gebruiken om geverifieerde gebruikers te misleiden met kwaadaardige links of webpagina's, wat kan leiden tot ongewenste acties zoals het toevoegen van nieuwe gebruikersaccounts of het verkrijgen van adminrechten. Twee kritieke CSRF-kwetsbaarheden kunnen op afstand worden uitgebuit zonder authenticatie. Cisco heeft geen bewijs gevonden van exploitatiepogingen of publieke proof-of-concept exploits. Eerdere versies dan 14.0 van de Expressway Series moeten migreren naar een vaste release, terwijl versie 15.0 niet kwetsbaar is. Cisco zal geen beveiligingsupdates uitbrengen voor de TelePresence Video Communication Server (VCS) gateway omdat deze de ondersteuningseinddatum heeft bereikt. [1, 2]
Een kritieke kwetsbaarheid is ontdekt in de Shim bootloader, een essentieel component voor het opstarten van Linux-systemen met Secure Boot, waardoor aanvallers kwaadaardige code kunnen uitvoeren voordat het besturingssysteem wordt geladen. Deze kwetsbaarheid, geïdentificeerd als CVE-2023-40547, werd onthuld door een onderzoeker van Microsoft en betreft een fout in de verwerking van HTTP-responsen door Shim. Aanvallers kunnen deze kwetsbaarheid uitbuiten via meerdere methoden, waaronder man-in-the-middle-aanvallen en het wijzigen van EFI Variabelen. Red Hat heeft reeds een oplossing uitgebracht, en Linux-gebruikers worden aangeraden hun systemen te updaten naar de laatste versie van Shim om bescherming te bieden tegen deze en andere kwetsbaarheden. Het is cruciaal voor Linux-gebruikers om actie te ondernemen en hun systemen bij te werken om te zorgen voor veiligheid. [1, 2, 3, 4]
Fortinet heeft recentelijk een fout gemaakt door ten onrechte twee kritieke kwetsbaarheden in hun FortiSIEM-producten te melden. Deze zogenaamde nieuwe kwetsbaarheden bleken duplicaten te zijn van een reeds bekende kwetsbaarheid uit 2023, en werden per abuis uitgegeven. Fortinet heeft bevestigd dat er in 2024 geen nieuwe kwetsbaarheden voor FortiSIEM zijn gepubliceerd; het probleem werd veroorzaakt door een API-fout. Organisaties die de oorspronkelijke kwetsbaarheid van vorig jaar al hadden aangepakt, hoeven geen verdere actie te ondernemen. Dit incident onderstreept het belang van nauwkeurigheid in de rapportage en beheer van beveiligingslekken. [1]
Een ernstige kwetsbaarheid in het softwareontwikkelingsplatform TeamCity stelt aanvallers in staat om op afstand servers van softwareontwikkelaars over te nemen. Deze kwetsbaarheid, bekend als CVE-2024-23917, laat ongeauthenticeerde aanvallers authenticatieprocessen omzeilen om volledige beheerdersrechten te verkrijgen. Met een risicobeoordeling van 9.8 uit 10, wordt dit lek beschouwd als uiterst kritiek. Het beveiligingsprobleem is aanwezig in versies van TeamCity vanaf 2017.1 tot 2023.11.2. JetBrains, de ontwikkelaar achter TeamCity dat door meer dan dertigduizend klanten wereldwijd wordt gebruikt, dringt er bij organisaties op aan om hun systemen te updaten naar versie 2023.11.3 waarin het lek is gedicht. Deze kwetsbaarheid werd op 19 januari door een externe onderzoeker gerapporteerd. Tot op heden zijn er geen aanwijzingen dat de cloudversies van het platform zijn misbruikt. Desondanks wordt organisaties die niet direct kunnen patchen geadviseerd hun TeamCity-servers offline te halen als deze vanaf het internet toegankelijk zijn, om mogelijke aanvallen te voorkomen. [1]
Recent onderzoek heeft aangetoond dat meerdere modellen van Canon-printers kwetsbaar zijn voor ernstige beveiligingsrisico's. De printers bevatten zeven kritieke kwetsbaarheden, waaronder buffer overflows, die aanvallers de mogelijkheid bieden tot remote code execution of het veroorzaken van een denial-of-service. Deze risico's zijn vooral aanwezig bij printers die direct met het internet verbonden zijn. Als reactie hierop heeft Canon klanten geadviseerd om de printers een privaat IP-adres toe te wijzen en een firewall in te schakelen om de toegang tot de netwerkprinter te beperken. Ook heeft de fabrikant firmware-updates uitgebracht om deze kwetsbaarheden aan te pakken. Het Japanse Computer Emergency Response Team Coordination Center (JPCERT/CC) heeft de ernst van deze kwetsbaarheden hoog ingeschaald, met een score van 9.8 op een schaal van 1 tot 10. [1, 2, 3]
Een recente ontwikkeling in de wereld van cyberveiligheid brengt Androidtelefoongebruikers in gevaar. Er is een kritieke kwetsbaarheid ontdekt waardoor aanvallers op afstand controle kunnen overnemen. Google heeft snel gereageerd door beveiligingsupdates uit te brengen om het probleem aan te pakken. Deze kwetsbaarheid, bekend als CVE-2024-0031, maakt het mogelijk voor aanvallers om op afstand willekeurige code uit te voeren op Androidtelefoons. Dit potentieel gevaarlijke beveiligingslek is verholpen in Android 11, 12, 12L, 13 en 14. Het is echter onduidelijk of oudere Androidversies ook kwetsbaar zijn, aangezien Google geen informatie heeft verstrekt over oudere versies. Google hanteert patchniveaus en heeft de updates beschikbaar gesteld voor Android 11, 12, 12L, 13 en 14. Fabrikanten van Androidtoestellen zijn op de hoogte gebracht van deze kwetsbaarheid, maar niet alle toestellen zullen de updates ontvangen, vooral oudere modellen. Het is van vitaal belang dat Androidgebruikers deze beveiligingsupdates installeren om zichzelf te beschermen tegen potentiële aanvallen. De cyberveiligheidsgemeenschap houdt de situatie nauwlettend in de gaten om verdere risico's te minimaliseren. [1]
Google heeft een nieuw rapport vrijgegeven waarin wordt gesteld dat bijna zeventig zerodaylekken in software van Adobe, Apple, Google, Microsoft en Mozilla sinds 2016 het werk zijn van commerciële spywareleveranciers. Deze leveranciers bieden spyware aan die gebruikt wordt om volledige toegang tot smartphones of systemen van slachtoffers te krijgen en hen te bespioneren. Deze spyware maakt gebruik van zerodaylekken, waarvoor nog geen updates beschikbaar zijn op het moment van de aanval. Google benadrukt dat er internationale inzet nodig is om het 'spyware-ecosysteem' te verstoren en gebruikers te beschermen. Sinds 2016 zijn er minstens 67 zerodaylekken gebruikt door commerciële spywareleveranciers, waarvan veel in Android, Google Chrome en iOS. Google roept op tot regelgeving en veranderingen in de beloningsstructuur om de verspreiding van spyware te stoppen. Het techbedrijf benadrukt dat de schade die deze industrie veroorzaakt zwaarder weegt dan enig voordeel om er gebruik van te blijven maken. Het is nu aan overheden, de industrie en de maatschappij om actie te ondernemen. [1]
Het Nationaal Cyber Security Centrum (NCSC) heeft een waarschuwing uitgegeven voor vier kritieke kwetsbaarheden in Ivanti Connect Secure en Policy Secure. Deze kwetsbaarheden stellen kwaadwillenden in staat om authenticatie te omzeilen en code uit te voeren met root-rechten. Ivanti heeft sommige van deze kwetsbaarheden gedicht met updates, terwijl voor andere mitigerende maatregelen worden aanbevolen. Het NCSC adviseert organisaties met kwetsbare systemen een reeks stappen te volgen, waaronder het uitvoeren van een factory reset, het installeren van patches, en het wijzigen van inloggegevens. [1]
Apple heeft een ernstige zeroday-kwetsbaarheid, geïdentificeerd als CVE-2024-23222, in de Apple Vision Pro en andere iOS-apparaten gepatcht. De kwetsbaarheid bevond zich in WebKit, de basis voor Safari en andere webapps, en stelde aanvallers in staat malafide code uit te voeren. Het lek werd ook gedicht in tvOS, iOS, iPadOS en macOS. Er is een indicatie dat het lek mogelijk al werd uitgebuit, maar details ontbreken. De Apple Vision Pro is sinds 2 februari in de VS beschikbaar, maar een Nederlandse release datum is nog niet bekend. [1]
Een kritieke bug in zowel versie 2 als 3 van ModSecurity, een populaire opensource-webapplicatie-firewall (WAF), maakt het mogelijk de beveiliging te omzeilen. De kwetsbaarheid, ontdekt door Andrea Menin van SicuraNext, betreft de wijze waarop URL's worden gedecodeerd en variabelen worden toegevoegd. Een specifieke variabele, 'REQUEST_FILENAME', die wordt gebruikt om URL's op kwetsbaarheden te controleren, is onjuist geïmplementeerd. Hierdoor kunnen kwaadwillenden de WAF-bypass manipuleren. Hoewel de bug in versie 3 is verholpen, blijft de kwetsbaarheid in versie 2 ongepatcht, met risico's voor gebruikers van deze versie. [1]
In november 2023 ontdekte beveiligingsonderzoeker Rory McNamara vier kwetsbaarheden, genaamd "Leaky Vessels", in de containerinfrastructuur van runc en Buildkit. Deze kwetsbaarheden stellen hackers in staat om uit containers te ontsnappen en toegang te krijgen tot het onderliggende host-besturingssysteem. De ontdekte fouten betreffen problemen met werkdirectory-commando's, racecondities, ongeautoriseerde bestandsverwijderingen en ontoereikende privilegecontroles. Betrokken partijen zoals Docker, AWS, Google Cloud en Ubuntu hebben updates uitgebracht om deze kwetsbaarheden aan te pakken en gebruikers worden aangespoord om deze patches snel toe te passen om mogelijke exploitatie te voorkomen. [1]
De kwetsbaarheden 'Leaky Vessels' worden als volgt samengevat:
CVE-2024-21626: Fout door een volgordeprobleem met het WORKDIR-commando in runc, waardoor aanvallers uit de geïsoleerde container kunnen ontsnappen en toegang krijgen tot het hostsysteem.
CVE-2024-23651: Een raceconditie binnen Buildkit's mount-cachebehandeling die tot onvoorspelbaar gedrag kan leiden, mogelijk misbruikt voor ongeautoriseerde toegang.
CVE-2024-23652: Een fout die het willekeurig verwijderen van bestanden of mappen tijdens de afbraakfase van Buildkit's container toelaat, mogelijk leidend tot dienstweigering of gegevenscorruptie.
CVE-2024-23653: Kwetsbaarheid door onvoldoende privilegecontroles in Buildkit's GRPC-interface, waardoor aanvallers acties buiten hun bevoegdheden kunnen uitvoeren.
Een ernstige kwetsbaarheid in het sociale netwerk Mastodon stelt aanvallers in staat om accounts op afstand over te nemen. De kwetsbaarheid, bekend als CVE-2024-23832, treft alle Mastodon-versies tot 3.5.17 en verschillende 4.x-versies. Het probleem kreeg een ernstscore van 9,4 op een schaal tot 10. Een beveiligingsupdate is uitgebracht om de kwetsbaarheid te verhelpen. Details over de kwetsbaarheid worden vertraagd gepubliceerd om beheerders de kans te geven hun systemen te updaten. Mastodon, een gedecentraliseerd netwerk, vereist dat beheerders hun eigen servers onderhouden. [1]
Er zijn vier ernstige kwetsbaarheden ontdekt in Ivanti Connect Secure (voorheen bekend als Pulse Connect Secure) en Policy Secure. Deze lekken maken het voor kwaadwillenden mogelijk om de authenticatie te omzeilen en op afstand code uit te voeren met volledige root-rechten. Daarnaast is er een SSRF-kwetsbaarheid aangetroffen in Ivanti. Het Nationaal Cyber Security Centrum (NCSC) benadrukt het belang van het controleren van het meest recente beveiligingsadvies en adviseert gebruikers om de update-instructies op de website van Ivanti nauwkeurig te volgen. Voor ondersteunde versies zijn updates beschikbaar, terwijl het NCSC gebruikers van niet-ondersteunde versies aanraadt om direct contact op te nemen met Ivanti. Het NCSC zal nieuwe informatie blijven verstrekken en adviseren over de beste stappen die gebruikers kunnen nemen om zich tegen deze kwetsbaarheden te beschermen. [1]
Een ernstig zeroday-lek is aangetroffen in de Opera-browser, waardoor kwaadwillenden malafide bestanden kunnen uitvoeren op zowel Windows- als macOS-systemen. Dit risico komt voort uit een kwetsbaarheid in de My Flow-functie van Opera, die normaal het delen van notities en bestanden tussen apparaten mogelijk maakt. Onderzoekers van Guardio Labs, die de kwetsbaarheid 'MyFlaw' noemen, onthulden dat een specifieke browserextensie 'Opera Touch Background' uitzonderlijk brede toegangsrechten heeft, waardoor het lek ontstond. Hoewel Opera beveiligingsmaatregelen heeft ingebouwd, bleken verouderde versies van My Flow-landingspagina's zonder deze maatregelen nog steeds toegankelijk. Guardio Labs heeft met succes een Proof of Concept-extensie ontwikkeld die een aanval via dit lek mogelijk maakt, waarbij interactie van de gebruiker vereist is. Opera heeft inmiddels gereageerd door de kwetsbare en onveilige onderdelen te verwijderen, en volgens Guardio Labs is er geen bewijs dat het lek daadwerkelijk is uitgebuit door cybercriminelen. [1]
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
Reading in 🇬🇧 or another language
🇳🇱 🇬🇧