Kwetsbaarheden CVE's


2024 | 2023 | 2022 | 2021



Kwetsbaarheden nieuws


Kwetsbaarheid van domeinnamen door zwakke dns-verificatie

Uit recent onderzoek blijkt dat meer dan een miljoen domeinnamen, inclusief die van grote bedrijven, kwetsbaar zijn voor overname door cybercriminelen vanwege zwakke authenticatie bij grote webhosting- en domeinregistratiebedrijven. Deze kwetsbaarheid, bekend als "lame" DNS-records, ontstaat wanneer een domein niet correct geconfigureerd is, waardoor onbevoegden het kunnen claimen zonder toegang tot het echte account van de eigenaar.

Onderzoekers ontdekten dat deze zwakte al jaren bestaat en dat verschillende cybercriminelen er misbruik van maken om gestolen domeinen te gebruiken voor kwaadaardige activiteiten, zoals phishing en malwareverspreiding. Ondanks eerdere waarschuwingen en incidenten, zoals de aanval in 2019 via GoDaddy, blijft dit probleem bestaan bij meerdere grote DNS-providers.

De beveiligingsexperts pleiten voor betere samenwerking en verificatieprocedures om deze kwetsbaarheden aan te pakken. Zonder verbeterde beveiligingsmaatregelen zullen aanvallen op deze kwetsbare domeinen blijven toenemen, wat zowel domeineigenaren als internetgebruikers in gevaar brengt. 1


Tientallen duizenden VMware ESXi-servers blijven kwetsbaar voor aanvallen

Ruim twintigduizend VMware ESXi-servers, waaronder 750 in Nederland, hebben nog steeds geen beveiligingsupdate ontvangen voor een ernstige kwetsbaarheid. Deze kwetsbaarheid, bekend als CVE-2024-37085, maakt het mogelijk voor aanvallers om via een Active Directory-groep genaamd 'ESX Admins' beheerdersrechten te verkrijgen. Ondanks dat VMware op 25 juni een update uitbracht, werd deze kwetsbaarheid al eerder door aanvallers misbruikt voor ransomware-aanvallen. De Shadowserver Foundation, die wereldwijd onderzoek doet naar cyberdreigingen, heeft dit probleem aan het licht gebracht door online scans uit te voeren. Hierdoor zijn duizenden servers als "potentieel kwetsbaar" geïdentificeerd. Het blijft echter onduidelijk of sommige beheerders tijdelijke oplossingen hebben geïmplementeerd. Het is cruciaal dat alle beheerders de benodigde updates zo snel mogelijk doorvoeren om verdere aanvallen te voorkomen. 1


Google patcht kritiek Chrome-lek dat remote code execution mogelijk maakt

Google heeft een kritieke kwetsbaarheid in de Chrome-browser verholpen die aanvallers in staat stelde om willekeurige code op systemen uit te voeren. Deze kwetsbaarheid, CVE-2024-6990, bevindt zich in Dawn, een implementatie van de WebGPU-standaard. Door simpelweg een besmette website te bezoeken of een geïnfecteerde advertentie te bekijken, kon een gebruiker slachtoffer worden van deze aanval. Google werd op 15 juli door een anonieme melder, 'gelatin dessert', op de hoogte gebracht van dit lek. Details over de beloning voor de ontdekker zijn nog niet bekendgemaakt.

De update naar Chrome versie 127.0.6533.88/89 is beschikbaar voor Windows en macOS, terwijl Linux-gebruikers versie 127.0.6533.88 kunnen downloaden. Google streeft ernaar om updates voor kritieke kwetsbaarheden binnen dertig dagen bij alle gebruikers uit te rollen. De meeste systemen zullen automatisch worden bijgewerkt, maar gebruikers kunnen ook handmatig controleren op updates als ze deze direct willen ontvangen.

Google LLC, gevestigd in Mountain View, Californië, is een wereldwijd technologiebedrijf dat internetgerelateerde diensten en producten aanbiedt, waaronder online advertenties, zoektechnologie en software. Het bedrijf is vooral bekend om zijn zoekmachine, de Android-besturingssystemen en de Chrome-webbrowser. 1, 2


Beveiligingslek in Siri geeft toegang tot vergrendelde Apple-apparaten

Diverse kwetsbaarheden in de spraakassistent Siri van Apple maken het mogelijk voor aanvallers met fysieke toegang om gevoelige gegevens te stelen van vergrendelde iPhones en Macs. Apple heeft beveiligingsupdates uitgebracht voor deze problemen. Specifiek voor iOS 17.6 en iPadOS 17.6 zijn vier kwetsbaarheden aangepakt, evenals een kwetsbaarheid in VoiceOver. Deze laatste maakte het mogelijk voor een aanvaller om afgeschermde content op vergrendelde apparaten te bekijken. Twee van de Siri-kwetsbaarheden zijn ook in macOS opgelost door de functionaliteiten op vergrendelde toestellen te beperken. Daarnaast heeft Apple in macOS een kwetsbaarheid in OpenSSH gepatcht, die bekendstaat als 'regreSSHion'. Deze kwetsbaarheid stelde een ongeauthenticeerde aanvaller in staat om op afstand code als root uit te voeren. Mac-gebruikers kunnen updaten naar macOS Monterey 12.7.6macOS Ventura 13.6.8 of macOS Sonoma 14.6. Voor eigenaren van een iPhone of iPad zijn iOS en iPadOS 16.7.9 en iOS en iPadOS 17.6 verschenen.


Bug in Google Chrome leidde tot verdwijning van wachtwoorden bij miljoenen gebruikers

Op 27 juli 2024 ontdekte Google een bug in Chrome die ervoor zorgde dat opgeslagen wachtwoorden tijdelijk niet beschikbaar waren voor vijftien miljoen gebruikers. Dit probleem duurde achttien uur, waarin gebruikers klaagden dat hun wachtwoorden waren verdwenen en nieuwe wachtwoorden niet konden worden opgeslagen. Daarnaast vroeg de browser om inloggegevens op websites waar gebruikers eerder hadden aangegeven dit niet te doen. Google identificeerde een aanpassing in de browser, uitgevoerd zonder adequate beveiliging, als oorzaak. De aanpassing was uitgerold naar een kwart van de Chrome-gebruikers, waarvan twee procent werd getroffen door het probleem. Google adviseert getroffen gebruikers om hun browser te updaten naar de laatste versie en deze opnieuw te starten. 1, 2, 3


Veiligheidslek in WhatsApp voor Windows: Python- en PHP-scripts zonder waarschuwing uitgevoerd

Een recent ontdekte beveiligingsfout in de nieuwste versie van WhatsApp voor Windows stelt gebruikers in staat om Python- en PHP-bestanden te versturen die automatisch worden uitgevoerd wanneer de ontvanger ze opent. Voor deze aanval is het vereist dat Python op de computer van de ontvanger is geïnstalleerd, wat de potentiële slachtoffers beperkt tot softwareontwikkelaars, onderzoekers en ervaren gebruikers. Ondanks het feit dat WhatsApp verschillende bestandstypen blokkeert die als risicovol worden beschouwd, staan Python- en PHP-scripts niet op de blokkadelijst. Onderzoeker Saumyajeet Das ontdekte dit lek en rapporteerde het aan Meta, die de melding afwees. De kwetsbaarheid maakt het mogelijk dat kwaadwillenden schadelijke scripts naar contactpersonen kunnen sturen of in openbare en privéchatgroepen kunnen delen. Meta heeft aangegeven geen plannen te hebben om dit probleem op te lossen, ondanks de eenvoudige oplossing door deze bestandstypen toe te voegen aan de blokkeerlijst.


Google verhelpt misbruik verificatieproces Workspace-accounts

Google heeft recentelijk een kwetsbaarheid verholpen waardoor kwaadwillenden de e-mailverificatie konden omzeilen bij het aanmaken van een Google Workspace-account. Deze zwakte stelde hen in staat zich voor te doen als domeinhouders bij diensten van derden die gebruikmaken van de "Inloggen met Google"-functie. Het probleem kwam aan het licht toen een gebruiker meldde dat zijn e-mailadres was gebruikt voor een mogelijk kwaadaardig Workspace-account, dat door Google was geblokkeerd. Volgens Google misbruikten de aanvallers een speciaal geconstrueerd verzoek om de verificatiestap te omzeilen, waardoor zij toegang kregen tot externe applicaties. De malafide activiteiten begonnen eind juni en betroffen enkele duizenden accounts die zonder domeinverificatie waren aangemaakt. Google heeft binnen 72 uur na ontdekking de kwetsbaarheid verholpen en extra beveiligingsmaatregelen getroffen om dergelijke aanvallen in de toekomst te voorkomen. Volgens Google zijn de accounts niet gebruikt om Google-diensten te misbruiken, maar om zich voor te doen als domeinhouders bij andere online diensten. 1


⚠️ Kritieke firmware-kwetsbaarheid PKfail ondermijnt Secure Boot

Een ernstige firmware-kwetsbaarheid, genaamd PKfail, stelt honderden UEFI-producten van tien fabrikanten bloot aan risico's. Dit probleem, ontdekt door het Binarly Research Team, laat aanvallers Secure Boot omzeilen en malware installeren. De kwetsbaarheid is ontstaan doordat apparaten een test Secure Boot "master key" van American Megatrends International (AMI) gebruiken, die niet vervangen is door eigen veilig gegenereerde sleutels. Hierdoor kunnen aanvallers de gehele beveiligingsketen van firmware tot besturingssysteem compromitteren. Onder de getroffen fabrikanten bevinden zich bekende namen zoals Acer, Dell, HP, Intel, Lenovo en anderen. De kwetsbaarheid stelt aanvallers in staat om UEFI-malware zoals CosmicStrand en BlackLotus te verspreiden. Om PKfail te mitigeren, wordt aanbevolen dat fabrikanten cryptografische sleutelbeheer best practices volgen en eigen sleutels genereren. Gebruikers moeten firmware-updates nauwlettend in de gaten houden en beveiligingspatches zo snel mogelijk toepassen. Binarly biedt ook een gratis online tool aan om firmwarebinaries te scannen op kwetsbaarheden en schadelijke payloads. 1


Kritieke kwetsbaarheid in Telerik Report Server

Progress Software waarschuwt klanten voor een ernstige kwetsbaarheid in de Telerik Report Server, aangeduid als CVE-2024-6327. Deze kwetsbaarheid, veroorzaakt door het deserialiseren van onbetrouwbare data, stelt aanvallers in staat om op afstand code uit te voeren op niet-gepatchte servers. Telerik Report Server, een platform voor gecentraliseerde rapportopslag en beheer, is getroffen in versies 2024 Q2 (10.1.24.514) en eerder. De kwetsbaarheid is opgelost in versie 2024 Q2 (10.1.24.709). Progress Software adviseert dringend om te updaten naar de laatste versie. Voor systemen die niet direct kunnen worden bijgewerkt, biedt Progress tijdelijke maatregelen, zoals het wijzigen van de gebruikersrechten van de applicatiepool. Eerdere kwetsbaarheden in Telerik-software zijn in het verleden actief misbruikt, wat het belang van tijdige updates benadrukt. 1


Docker Ondekt Kritieke Beveiligingsfout na Vijf Jaar

In 2018 werd een ernstige kwetsbaarheid in Docker ontdekt die aanvallers in staat stelde om autorisatieplug-ins te omzeilen en ongeautoriseerde acties uit te voeren. Deze kwetsbaarheid kreeg een impactscore van 10.0 op een schaal van 1 tot 10. Ondanks een update begin 2019 om dit probleem te verhelpen, werd in juli 2019 een versie van Docker uitgebracht waarin de patch ontbrak door een regressie. Deze fout bleef onopgemerkt totdat het in april 2024 aan het licht kwam. Docker heeft inmiddels versie 27.1.1 uitgebracht waarin de benodigde beveiligingsupdate weer is toegevoegd. Deze situatie onderstreept het belang van voortdurende beveiligingsmonitoring en snelle reactie op ontdekte kwetsbaarheden. 1, 2, 3


Microsoft Lanceert Hersteltool voor CrowdStrike-Probleem op Windows

Microsoft heeft een nieuwe usb-tool geïntroduceerd om bedrijven te helpen bij het herstellen van Windows-systemen die niet meer werken door een recente update van CrowdStrike's beveiligingssoftware. Dit probleem heeft ongeveer 8,5 miljoen computers getroffen. De tool is ontworpen om systemen, zowel met als zonder BitLocker, te repareren. Voor BitLocker-versleutelde systemen is het invoeren van de BitLocker herstelcode vereist. Deze tool voert de herstelmethodes uit die door CrowdStrike worden aanbevolen. Hoewel CrowdStrike verschillende handleidingen heeft gepubliceerd om organisaties bij te staan, biedt de usb-tool een vereenvoudigde manier om de herstelscripts uit te voeren en zo de getroffen systemen weer operationeel te maken. Microsoft en CrowdStrike werken samen om de impact van dit probleem te minimaliseren en verdere schade te voorkomen. 1, 2


Beveiligingsfouten in SAP AI Core blootgesteld

Onderzoekers van Wiz hebben vijf beveiligingsfouten ontdekt in het cloudgebaseerde platform SAP AI Core. Deze fouten, gezamenlijk aangeduid als SAPwned, kunnen aanvallers toegang geven tot klantgegevens en toegangstokens. SAP AI Core biedt infrastructuur en tools voor het bouwen, beheren en implementeren van voorspellende AI-workflows. De onderzoekers toonden aan dat door legitieme AI-trainingsprocedures en willekeurige code uit te voeren, zij uitgebreide toegang konden krijgen tot privégegevens en inloggegevens van klanten. Ze konden Docker-images lezen en wijzigen, evenals beheerderstoegang verkrijgen tot SAP's Kubernetes-cluster. Deze kwetsbaarheden maakten het mogelijk om klantomgevingen te infiltreren en aan te tasten. Wiz rapporteerde de fouten aan SAP op 25 januari 2024, en SAP loste deze op tegen 15 mei 2024. De onderzoekers benadrukten de noodzaak voor verbeterde isolatie en sandboxing standaarden bij het uitvoeren van AI-modellen om dergelijke risico's in de toekomst te voorkomen. 1


⚠️ SolarWinds Verhelpt Kritieke Kwetsbaarheden in Toegangsrechtenbeheer Software

SolarWinds heeft acht kritieke kwetsbaarheden in zijn Access Rights Manager (ARM) software opgelost. Zes van deze kwetsbaarheden stelden aanvallers in staat om op afstand code uit te voeren op kwetsbare apparaten. De kwetsbaarheden, die scores van 9,6/10 kregen, maakten het mogelijk voor ongeautoriseerde gebruikers om acties uit te voeren op niet-gepatchte systemen door code of opdrachten uit te voeren. Daarnaast werden er drie directory traversal-fouten verholpen, waarmee onbevoegde gebruikers willekeurige bestanden konden verwijderen en gevoelige informatie konden verkrijgen. Ook werd een authenticatie-bypass kwetsbaarheid aangepakt, waarmee aanvallers domeinbeheerderstoegang binnen de Active Directory-omgeving konden krijgen. De kwetsbaarheden werden gemeld door Trend Micro's Zero Day Initiative en verholpen in de Access Rights Manager 2024.3 update. SolarWinds heeft nog niet bekendgemaakt of er bewijs is dat deze kwetsbaarheden actief zijn uitgebuit. 1


⚠️ Adobe Roept Webshops Op Om Kritieke Magento-Kwetsbaarheid Te Patches

Adobe heeft webshops die gebruikmaken van Adobe Commerce of Magento Open Source dringend verzocht om een kritieke kwetsbaarheid (CVE-2024-34102) zo snel mogelijk te patchen. Deze kwetsbaarheid, met een impactscore van 9.8 op een schaal van 10, betreft een probleem met de beperking van XML External Entity-referenties (XXE). Volgens beveiligingsbedrijf Sansec is dit de grootste kwetsbaarheid voor Magento- en Adobe Commerce-webshops in de afgelopen twee jaar. Ongeauthenticeerde aanvallers kunnen hierdoor op afstand toegang krijgen tot gevoelige bestanden van de webshop, waaronder wachtwoorden, en mogelijk volledige controle overnemen. Adobe heeft de prioriteit voor het installeren van de patch verhoogd naar het hoogste niveau en adviseert webshops de update binnen 72 uur te installeren. Ook het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft organisaties die deze software gebruiken opgedragen de update uiterlijk 7 augustus te installeren om misbruik te voorkomen. 1


⚠️ Kritieke Kwetsbaarheid in Cisco Secure Email Gateway

Cisco heeft een ernstige kwetsbaarheid (CVE-2024-20401) ontdekt in hun Secure Email Gateway, voorheen bekend als de Email Security Appliance. Deze kwetsbaarheid maakt het mogelijk voor een ongeauthenticeerde aanvaller om het systeem op afstand over te nemen door een malafide e-mailbijlage te versturen. De kwetsbaarheid is beoordeeld met een score van 9.8 op een schaal van 1 tot 10, wat de ernst ervan onderstreept. Een aanvaller kan via deze kwetsbaarheid bestanden op het onderliggende systeem van de gateway vervangen, gebruikers met rootrechten toevoegen, de configuratie aanpassen, willekeurige code uitvoeren of een permanente denial of service (DoS) veroorzaken. Voor het oplossen van een DoS-aanval is handmatig ingrijpen vereist. Cisco heeft inmiddels beveiligingsupdates uitgebracht om deze kwetsbaarheid te verhelpen en meldt dat er tot nu toe geen misbruik van hetlek bekend is.


⚠️ Kritieke Beveiligingsfout in Cisco SSM On-Prem Maakt Wachtwoordwijziging door Hackers Mogelijk

Cisco heeft een ernstige kwetsbaarheid verholpen in hun Smart Software Manager On-Prem (Cisco SSM On-Prem) licentieservers. Deze fout maakte het voor aanvallers mogelijk om wachtwoorden van willekeurige gebruikers, inclusief beheerders, te wijzigen. De kwetsbaarheid, geïdentificeerd als CVE-2024-20419, was aanwezig in SSM On-Prem-versies ouder dan Release 7.0. Door een onjuiste implementatie in het wachtwoordveranderingsproces konden aanvallers via speciaal gevormde HTTP-verzoeken wachtwoorden resetten zonder de oorspronkelijke inloggegevens te kennen. Cisco adviseert beheerders dringend om hun systemen te updaten naar een gepatchte versie, aangezien er geen tijdelijke oplossingen beschikbaar zijn. Tot op heden zijn er geen aanwijzingen dat deze kwetsbaarheid actief is misbruikt. Eerder deze maand heeft Cisco ook een zero-day kwetsbaarheid in NX-OS verholpen die door kwaadwillenden was gebruikt om malware te installeren op kwetsbare switches. Dit benadrukt het belang van tijdig patchen en updaten van systemen om beveiligingsrisico's te minimaliseren. 1


⚠️ Oracle waarschuwt voor kritieke kwetsbaarheden in groot aantal producten

Oracle heeft tijdens de reguliere patchronde van juli gewaarschuwd voor ernstige kwetsbaarheden in diverse producten en roept organisaties op om de patches onmiddellijk te installeren. In totaal zijn er 386 nieuwe beveiligingsupdates uitgebracht, waarvan meerdere kritieke kwetsbaarheden met een impactscore van 9.8 op een schaal van 10. Deze kwetsbaarheden kunnen aanvallers op afstand in staat stellen systemen over te nemen. Vooral producten zoals Billing and Revenue Management, WebLogic Server, en MySQL Cluster zijn kwetsbaar gebleken. WebLogic Server is eerder een populair doelwit geweest, waarbij kwetsbaarheden vaak snel na het uitbrengen van updates werden misbruikt. Oracle benadrukt dat succesvolle aanvallen soms mogelijk zijn omdat gebruikers nalaten de patches tijdig te installeren. Het bedrijf adviseert dan ook om de nu beschikbare updates direct toe te passen om beveiligingsrisico's te minimaliseren. Oracle brengt elk kwartaal updates uit, met de volgende patchronde gepland voor 15 oktober. 1


Kritieke Geoserver GeoTools Kwetsbaarheid Actief Gebruikt in Aanvallen

CISA waarschuwt voor een kritieke kwetsbaarheid in GeoServer's GeoTools-plugin, bekend als CVE-2024-36401, die actief wordt misbruikt. GeoServer is een open-source server voor het delen, verwerken en aanpassen van geografische gegevens. De kwetsbaarheid, ontdekt op 30 juni, heeft een ernstscore van 9,8 en wordt veroorzaakt door onveilige evaluatie van eigenschapsnamen als XPath-expressies. Dit kan leiden tot willekeurige code-uitvoering. Hoewel de kwetsbaarheid aanvankelijk niet werd uitgebuit, verschenen er snel proof-of-concept-exploits die demonstreerden hoe aanvallers servers konden compromitteren. GeoServer-beheerders hebben de fout hersteld in versies 2.23.6, 2.24.4 en 2.25.2, en raden gebruikers aan deze updates onmiddellijk te installeren. Alternatieve oplossingen zijn beschikbaar, maar kunnen sommige functionaliteiten verstoren. CISA heeft CVE-2024-36401 toegevoegd aan zijn catalogus van bekende geëxploiteerde kwetsbaarheden en eist dat federale agentschappen hun servers voor 5 augustus 2024 patchen. Ook private organisaties wordt sterk aangeraden deze updates snel door te voeren om aanvallen te voorkomen en systemen te controleren op mogelijke compromittering. 1, 2


⚠️ Wereldwijde VPN-gebruikers kwetsbaar voor port shadow-aanval

VPN-gebruikers wereldwijd lopen gevaar door een nieuw ontdekte aanvalsmethode genaamd "port shadow". Deze aanval maakt het mogelijk om verbindingen af te luisteren, over te nemen en gebruikers door te sturen naar schadelijke websites. De kwetsbaarheid is aanwezig in VPN-software zoals OpenVPN, WireGuard en OpenConnect, die draaien op Linux en FreeBSD. Bij de port shadow-aanval stuurt een aanvaller vanaf een externe locatie speciaal geprepareerde pakketten naar de VPN-server, waardoor andere gebruikers die dezelfde server gebruiken, kunnen worden aangevallen. De aanval maakt gebruik van het 'connection tracking framework' dat VPN-servers gebruiken om verkeer te beheren, en dit framework kan door elke gebruiker worden aangepast. Momenteel is er nog geen beveiligingsupdate beschikbaar, maar VPN-providers kunnen firewallregels instellen om de aanval te voorkomen. Als alternatieve oplossingen kunnen gebruikers ShadowSocks of Tor overwegen. Sommige VPN-diensten, zoals NordVPN, ExpressVPN en Surfshark, zijn niet kwetsbaar voor deze specifieke aanval. 1, 2


⚠️ Kritieke Beveiligingsfout in WP Time Capsule Plugin

Een ernstige beveiligingsfout is ontdekt in de Backup and Staging by WP Time Capsule plugin voor WordPress, die meer dan 20.000 actieve installaties heeft. Deze plugin helpt bij het maken van websiteback-ups en het beheren van updates. Onderzoekers van Patchstack vonden een kwetsbaarheid in versies 1.22.20 en lager, waarbij een gebroken authenticatiemechanisme aanvallers in staat stelde onbevoegd toegang te krijgen tot de beheerdersaccounts van de betreffende sites. De kwetsbaarheid werd veroorzaakt door een logische fout in de code van het bestand wptc-cron-functions.php. Door het manipuleren van JSON-gecodeerde POST-gegevens konden aanvallers kritieke authenticatiecontroles omzeilen en administratieve toegang verkrijgen. De ontwikkelaars reageerden snel op de melding en brachten versie 1.22.20 uit, maar deze oplossing bleek slechts gedeeltelijk effectief. Een meer robuuste fix volgde in versie 1.22.21, die aanvullende hash-vergelijkingen omvatte om verdere exploits te voorkomen. Gebruikers van de WP Time Capsule plugin worden dringend geadviseerd om onmiddellijk te updaten naar versie 1.22.21 of later om hun sites te beveiligen. 1


Netgear Waarschuwt voor Beveiligingslekken in WiFi 6 Routers

Netgear heeft gebruikers gewaarschuwd om hun apparaten te updaten naar de nieuwste firmwareversie, die kwetsbaarheden in opgeslagen cross-site scripting (XSS) en authenticatieomzeiling verhelpt in verschillende WiFi 6 routermodellen. De XSS-kwetsbaarheid (PSV-2023-0122) treft de XR1000 Nighthawk gaming router en kan aanvallers toestaan gebruikerssessies over te nemen, gebruikers naar schadelijke sites te leiden of valse inlogformulieren weer te geven. De authenticatieomzeiling (PSV-2023-0138) beïnvloedt de CAX30 Nighthawk AX6 6-Stream kabelmodem routers en kan onbevoegde toegang tot de administratieve interface bieden, wat kan resulteren in een volledige overname van de apparaten. Gebruikers wordt sterk aangeraden om de nieuwste firmware zo snel mogelijk te downloaden en te installeren. Eerder deze maand ontdekten onderzoekers ook verschillende kwetsbaarheden in de Netgear WNR614 N300, een populair model bij thuisgebruikers en kleine bedrijven, waarvoor geen beveiligingspatches meer worden uitgebracht. 1, 2


Google verhoogt beloningen voor het vinden van kwetsbaarheden tot $151K

Google heeft aangekondigd dat de beloningen voor het vinden van bugs in zijn systemen en applicaties via het Vulnerability Reward Program (VRP) met vijf keer zijn verhoogd, met een nieuwe maximale beloning van $151.515 voor een enkele veiligheidsfout. Google verklaarde dat hun systemen steeds veiliger worden, waardoor het vinden van bugs langer duurt. Om deze reden hebben ze de beloningen verhoogd om onderzoekers te blijven motiveren. Vanaf 11 juli 2024 zullen nieuwe kwetsbaarheidsmeldingen in aanmerking komen voor deze verhoogde beloningen. Naast hogere uitbetalingen heeft Google ook nieuwe betaalopties geïntroduceerd, waaronder betalingen via Bugcrowd. Sinds de lancering van het VRP in 2010 heeft Google meer dan $50 miljoen uitbetaald aan beveiligingsonderzoekers voor meer dan 15.000 gerapporteerde kwetsbaarheden. 1


⚠️ 1,5 Miljoen Exim-mailservers Kwetsbaar voor Beveiligingslek

Een recente scan van securitybedrijf Censys onthult dat ruim anderhalf miljoen Exim-mailservers wereldwijd een kwetsbare versie draaien, waaronder 66.000 in Nederland. Exim, een populaire message transfer agent (MTA), wordt blootgesteld aan het beveiligingslek CVE-2024-39929. Dit lek maakt het mogelijk om de "$mime_filename extension-blocking" te omzeilen door gebruik te maken van een fout in de verwerking van multiline RFC2231 bestandsnamen in e-mailbijlagen. Hierdoor kunnen malafide uitvoerbare bestanden worden verzonden. Alle Exim-versies tot en met 4.97.1 zijn getroffen. Exim bracht op 10 juli versie 4.98 uit om dit lek te verhelpen. De scan van Censys toont echter aan dat slechts 98 van de gedetecteerde servers met deze nieuwste versie zijn bijgewerkt, waarbij de meeste kwetsbare servers zich in de VS bevinden. Nederland staat op de vierde plaats in het aantal kwetsbare servers. 1, 2


⚠️ Kritieke bug in GitLab stelt aanvallers in staat pipelines uit te voeren als andere gebruikers

GitLab heeft vandaag gewaarschuwd dat een kritieke kwetsbaarheid in de GitLab Community en Enterprise edities het aanvallers mogelijk maakt om pipeline taken uit te voeren als een andere gebruiker. Deze kwetsbaarheid, aangeduid als CVE-2024-6385, heeft een ernstigheidsscore van 9.6/10 en treft GitLab CE/EE versies van 15.8 tot 17.1.2. Hierdoor kunnen aanvallers onder bepaalde omstandigheden een nieuwe pipeline starten als een willekeurige gebruiker. GitLab heeft security updates vrijgegeven en adviseert alle admins om onmiddellijk te upgraden. Dit is niet de eerste keer dat GitLab een dergelijke kwetsbaarheid verhelpt, en het benadrukt het belang van het snel patchen van beveiligingslekken om misbruik door aanvallers te voorkomen. 1


⚠️ Microsoft Patch Tuesday juli 2024 repareert 142 fouten en 4 zero-days

Microsoft heeft op de juli 2024 Patch Tuesday beveiligingsupdates uitgebracht die 142 kwetsbaarheden verhelpen, waaronder vier zero-day-lekken. Twee van deze zero-days werden actief misbruikt: een elevation of privilege-kwetsbaarheid in Windows Hyper-V en een spoofing-kwetsbaarheid in Windows MSHTML. De andere twee publiek bekende zero-days betreffen een remote code execution-lek in .NET en Visual Studio en een side-channel-aanval op Arm-processors.

Van de 142 opgeloste kwetsbaarheden zijn er vijf als kritiek geclassificeerd. De meeste lekken vallen in de categorieën remote code execution (59), elevation of privilege (26) en security feature bypass (24). Microsoft adviseert gebruikers de updates zo snel mogelijk te installeren om systemen te beschermen tegen potentiële aanvallen die misbruik maken van deze kwetsbaarheden.

Tag CVE ID CVE Title Severity
.NET and Visual Studio CVE-2024-30105 .NET Core and Visual Studio Denial of Service Vulnerability Important
.NET and Visual Studio CVE-2024-38081 .NET, .NET Framework, and Visual Studio Elevation of Privilege Vulnerability Important
.NET and Visual Studio CVE-2024-35264 .NET and Visual Studio Remote Code Execution Vulnerability Important
.NET and Visual Studio CVE-2024-38095 .NET and Visual Studio Denial of Service Vulnerability Important
Active Directory Rights Management Services CVE-2024-39684 Github: CVE-2024-39684 TenCent RapidJSON Elevation of Privilege Vulnerability Moderate
Active Directory Rights Management Services CVE-2024-38517 Github: CVE-2024-38517 TenCent RapidJSON Elevation of Privilege Vulnerability Moderate
Azure CycleCloud CVE-2024-38092 Azure CycleCloud Elevation of Privilege Vulnerability Important
Azure DevOps CVE-2024-35266 Azure DevOps Server Spoofing Vulnerability Important
Azure DevOps CVE-2024-35267 Azure DevOps Server Spoofing Vulnerability Important
Azure Kinect SDK CVE-2024-38086 Azure Kinect SDK Remote Code Execution Vulnerability Important
Azure Network Watcher CVE-2024-35261 Azure Network Watcher VM Extension Elevation of Privilege Vulnerability Important
Intel CVE-2024-37985 Arm: CVE-2024-37985 Systematic Identification and Characterization of Proprietary Prefetchers Important
Line Printer Daemon Service (LPD) CVE-2024-38027 Windows Line Printer Daemon Service Denial of Service Vulnerability Important
Microsoft Defender for IoT CVE-2024-38089 Microsoft Defender for IoT Elevation of Privilege Vulnerability Important
Microsoft Dynamics CVE-2024-30061 Microsoft Dynamics 365 (On-Premises) Information Disclosure Vulnerability Important
Microsoft Graphics Component CVE-2024-38079 Windows Graphics Component Elevation of Privilege Vulnerability Important
Microsoft Graphics Component CVE-2024-38051 Windows Graphics Component Remote Code Execution Vulnerability Important
Microsoft Office CVE-2024-38021 Microsoft Office Remote Code Execution Vulnerability Important
Microsoft Office Outlook CVE-2024-38020 Microsoft Outlook Spoofing Vulnerability Moderate
Microsoft Office SharePoint CVE-2024-38024 Microsoft SharePoint Server Remote Code Execution Vulnerability Important
Microsoft Office SharePoint CVE-2024-38023 Microsoft SharePoint Server Remote Code Execution Vulnerability Critical❗️
Microsoft Office SharePoint CVE-2024-32987 Microsoft SharePoint Server Information Disclosure Vulnerability Important
Microsoft Office SharePoint CVE-2024-38094 Microsoft SharePoint Remote Code Execution Vulnerability Important
Microsoft Streaming Service CVE-2024-38057 Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability Important
Microsoft Streaming Service CVE-2024-38054 Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability Important
Microsoft Streaming Service CVE-2024-38052 Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability Important
Microsoft Windows Codecs Library CVE-2024-38055 Microsoft Windows Codecs Library Information Disclosure Vulnerability Important
Microsoft Windows Codecs Library CVE-2024-38056 Microsoft Windows Codecs Library Information Disclosure Vulnerability Important
Microsoft WS-Discovery CVE-2024-38091 Microsoft WS-Discovery Denial of Service Vulnerability Important
NDIS CVE-2024-38048 Windows Network Driver Interface Specification (NDIS) Denial of Service Vulnerability Important
NPS RADIUS Server CVE-2024-3596 CERT/CC: CVE-2024-3596 RADIUS Protocol Spoofing Vulnerability Important
Role: Active Directory Certificate Services; Active Directory Domain Services CVE-2024-38061 DCOM Remote Cross-Session Activation Elevation of Privilege Vulnerability Important
Role: Windows Hyper-V CVE-2024-38080 Windows Hyper-V Elevation of Privilege Vulnerability Important
SQL Server CVE-2024-28928 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-38088 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-20701 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-21317 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-21331 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-21308 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-21333 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-35256 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-21303 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-21335 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-35271 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-35272 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-21332 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-38087 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-21425 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-21449 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-37324 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-37330 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-37326 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-37329 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-37328 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-37327 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-37334 Microsoft OLE DB Driver for SQL Server Remote Code Execution Vulnerability Important
SQL Server CVE-2024-37321 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-37320 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-37319 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-37322 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-37333 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-37336 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-37323 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-37331 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-21398 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-21373 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-37318 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-21428 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-21415 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-37332 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
SQL Server CVE-2024-21414 SQL Server Native Client OLE DB Provider Remote Code Execution Vulnerability Important
Windows BitLocker CVE-2024-38058 BitLocker Security Feature Bypass Vulnerability Important
Windows COM Session CVE-2024-38100 Windows File Explorer Elevation of Privilege Vulnerability Important
Windows CoreMessaging CVE-2024-21417 Windows Text Services Framework Elevation of Privilege Vulnerability Important
Windows Cryptographic Services CVE-2024-30098 Windows Cryptographic Services Security Feature Bypass Vulnerability Important
Windows DHCP Server CVE-2024-38044 DHCP Server Service Remote Code Execution Vulnerability Important
Windows Distributed Transaction Coordinator CVE-2024-38049 Windows Distributed Transaction Coordinator Remote Code Execution Vulnerability Important
Windows Enroll Engine CVE-2024-38069 Windows Enroll Engine Security Feature Bypass Vulnerability Important
Windows Fax and Scan Service CVE-2024-38104 Windows Fax Service Remote Code Execution Vulnerability Important
Windows Filtering CVE-2024-38034 Windows Filtering Platform Elevation of Privilege Vulnerability Important
Windows Image Acquisition CVE-2024-38022 Windows Image Acquisition Elevation of Privilege Vulnerability Important
Windows Imaging Component CVE-2024-38060 Windows Imaging Component Remote Code Execution Vulnerability Critical❗️
Windows Internet Connection Sharing (ICS) CVE-2024-38105 Windows Layer-2 Bridge Network Driver Denial of Service Vulnerability Important
Windows Internet Connection Sharing (ICS) CVE-2024-38053 Windows Layer-2 Bridge Network Driver Remote Code Execution Vulnerability Important
Windows Internet Connection Sharing (ICS) CVE-2024-38102 Windows Layer-2 Bridge Network Driver Denial of Service Vulnerability Important
Windows Internet Connection Sharing (ICS) CVE-2024-38101 Windows Layer-2 Bridge Network Driver Denial of Service Vulnerability Important
Windows iSCSI CVE-2024-35270 Windows iSCSI Service Denial of Service Vulnerability Important
Windows Kernel CVE-2024-38041 Windows Kernel Information Disclosure Vulnerability Important
Windows Kernel-Mode Drivers CVE-2024-38062 Windows Kernel-Mode Driver Elevation of Privilege Vulnerability Important
Windows LockDown Policy (WLDP) CVE-2024-38070 Windows LockDown Policy (WLDP) Security Feature Bypass Vulnerability Important
Windows Message Queuing CVE-2024-38017 Microsoft Message Queuing Information Disclosure Vulnerability Important
Windows MSHTML Platform CVE-2024-38112 Windows MSHTML Platform Spoofing Vulnerability Important
Windows MultiPoint Services CVE-2024-30013 Windows MultiPoint Services Remote Code Execution Vulnerability Important
Windows NTLM CVE-2024-30081 Windows NTLM Spoofing Vulnerability Important
Windows Online Certificate Status Protocol (OCSP) CVE-2024-38068 Windows Online Certificate Status Protocol (OCSP) Server Denial of Service Vulnerability Important
Windows Online Certificate Status Protocol (OCSP) CVE-2024-38067 Windows Online Certificate Status Protocol (OCSP) Server Denial of Service Vulnerability Important
Windows Online Certificate Status Protocol (OCSP) CVE-2024-38031 Windows Online Certificate Status Protocol (OCSP) Server Denial of Service Vulnerability Important
Windows Performance Monitor CVE-2024-38028 Microsoft Windows Performance Data Helper Library Remote Code Execution Vulnerability Important
Windows Performance Monitor CVE-2024-38019 Microsoft Windows Performance Data Helper Library Remote Code Execution Vulnerability Important
Windows Performance Monitor CVE-2024-38025 Microsoft Windows Performance Data Helper Library Remote Code Execution Vulnerability Important
Windows PowerShell CVE-2024-38043 PowerShell Elevation of Privilege Vulnerability Important
Windows PowerShell CVE-2024-38047 PowerShell Elevation of Privilege Vulnerability Important
Windows PowerShell CVE-2024-38033 PowerShell Elevation of Privilege Vulnerability Important
Windows Remote Access Connection Manager CVE-2024-30071 Windows Remote Access Connection Manager Information Disclosure Vulnerability Important
Windows Remote Access Connection Manager CVE-2024-30079 Windows Remote Access Connection Manager Elevation of Privilege Vulnerability Important
Windows Remote Desktop CVE-2024-38076 Windows Remote Desktop Licensing Service Remote Code Execution Vulnerability Critical❗️
Windows Remote Desktop CVE-2024-38015 Windows Remote Desktop Gateway (RD Gateway) Denial of Service Vulnerability Important
Windows Remote Desktop Licensing Service CVE-2024-38071 Windows Remote Desktop Licensing Service Denial of Service Vulnerability Important
Windows Remote Desktop Licensing Service CVE-2024-38073 Windows Remote Desktop Licensing Service Denial of Service Vulnerability Important
Windows Remote Desktop Licensing Service CVE-2024-38074 Windows Remote Desktop Licensing Service Remote Code Execution Vulnerability Critical❗️
Windows Remote Desktop Licensing Service CVE-2024-38072 Windows Remote Desktop Licensing Service Denial of Service Vulnerability Important
Windows Remote Desktop Licensing Service CVE-2024-38077 Windows Remote Desktop Licensing Service Remote Code Execution Vulnerability Critical❗️
Windows Remote Desktop Licensing Service CVE-2024-38099 Windows Remote Desktop Licensing Service Denial of Service Vulnerability Important
Windows Secure Boot CVE-2024-38065 Secure Boot Security Feature Bypass Vulnerability Important
Windows Secure Boot CVE-2024-37986 Secure Boot Security Feature Bypass Vulnerability Important
Windows Secure Boot CVE-2024-37981 Secure Boot Security Feature Bypass Vulnerability Important
Windows Secure Boot CVE-2024-37987 Secure Boot Security Feature Bypass Vulnerability Important
Windows Secure Boot CVE-2024-28899 Secure Boot Security Feature Bypass Vulnerability Important
Windows Secure Boot CVE-2024-26184 Secure Boot Security Feature Bypass Vulnerability Important
Windows Secure Boot CVE-2024-38011 Secure Boot Security Feature Bypass Vulnerability Important
Windows Secure Boot CVE-2024-37984 Secure Boot Security Feature Bypass Vulnerability Important
Windows Secure Boot CVE-2024-37988 Secure Boot Security Feature Bypass Vulnerability Important
Windows Secure Boot CVE-2024-37977 Secure Boot Security Feature Bypass Vulnerability Important
Windows Secure Boot CVE-2024-37978 Secure Boot Security Feature Bypass Vulnerability Important
Windows Secure Boot CVE-2024-37974 Secure Boot Security Feature Bypass Vulnerability Important
Windows Secure Boot CVE-2024-38010 Secure Boot Security Feature Bypass Vulnerability Important
Windows Secure Boot CVE-2024-37989 Secure Boot Security Feature Bypass Vulnerability Important
Windows Secure Boot CVE-2024-37970 Secure Boot Security Feature Bypass Vulnerability Important
Windows Secure Boot CVE-2024-37975 Secure Boot Security Feature Bypass Vulnerability Important
Windows Secure Boot CVE-2024-37972 Secure Boot Security Feature Bypass Vulnerability Important
Windows Secure Boot CVE-2024-37973 Secure Boot Security Feature Bypass Vulnerability Important
Windows Secure Boot CVE-2024-37971 Secure Boot Security Feature Bypass Vulnerability Important
Windows Secure Boot CVE-2024-37969 Secure Boot Security Feature Bypass Vulnerability Important
Windows Server Backup CVE-2024-38013 Microsoft Windows Server Backup Elevation of Privilege Vulnerability Important
Windows TCP/IP CVE-2024-38064 Windows TCP/IP Information Disclosure Vulnerability Important
Windows Themes CVE-2024-38030 Windows Themes Spoofing Vulnerability Important
Windows Win32 Kernel Subsystem CVE-2024-38085 Windows Graphics Component Elevation of Privilege Vulnerability Important
Windows Win32K - GRFX CVE-2024-38066 Windows Win32k Elevation of Privilege Vulnerability Important
Windows Win32K - ICOMP CVE-2024-38059 Win32k Elevation of Privilege Vulnerability Important
Windows Workstation Service CVE-2024-38050 Windows Workstation Service Elevation of Privilege Vulnerability Important
XBox Crypto Graphic Services CVE-2024-38032 Microsoft Xbox Remote Code Execution Vulnerability Important
XBox Crypto Graphic Services CVE-2024-38078 Xbox Wireless Adapter Remote Code Execution Vulnerability Important

❗️Kritieke kwetsbaarheden maken het mogelijk om Windows-servers op afstand over te nemen

Drie kritieke kwetsbaarheden hebben het mogelijk gemaakt om Windows-servers op afstand over te nemen wanneer ze de Remote Desktop Licensing Service draaien. Microsoft heeft updates uitgebracht om deze problemen op te lossen en adviseert organisaties om de service uit te schakelen als deze niet nodig is. Door het versturen van speciaal geprepareerde netwerkpakketten naar een server die is ingesteld als Remote Desktop Licensing-server, kon een ongeautoriseerde aanvaller op afstand willekeurige code uitvoeren op het systeem. Microsoft beoordeelde de impact van deze kwetsbaarheden als 9.8 op een schaal van 1 tot 10 en heeft updates uitgebracht voor alle ondersteunde versies van Windows Server. Het misbruik van deze kwetsbaarheden wordt als 'Less Likely' beschouwd, maar experts zijn van mening dat misbruik snel zal plaatsvinden als de servers vanaf het internet benaderbaar zijn. 1


❗️Citrix dicht kritiek lek dat toegang tot NetScaler Console mogelijk maakt

Citrix heeft recentelijk beveiligingsupdates uitgebracht voor een kritieke kwetsbaarheid, genaamd CVE-2024-6235, die aanvallers toegang tot de NetScaler Console, NetScaler SVM en NetScaler Agent zou kunnen verschaffen. Deze console stelt organisaties in staat hun NetScaler-instances te beheren. De impact van het beveiligingslek is beoordeeld met een 9.4 op een schaal van 1 tot en met 10. Citrix raadt organisaties die hun eigen NetScaler-omgeving beheren aan om de beschikbaar gestelde update te installeren. Er zijn nog geen details vrijgegeven over verdere potentiële risico's, maar Citrix heeft aangegeven het probleem zelf te hebben ontdekt en geen actief misbruik ervan te kennen. 1


❗️Beveiligingslek in Linksys Velop-routers: wifi-wachtwoord onversleuteld naar VS gestuurd

Uit een onderzoek van Testaankoop blijkt dat de Linksys Velop Pro 6E en Velop Pro 7 routers inloggegevens voor wifi-netwerken in plaintext naar Amerikaanse servers sturen. Tijdens de installatie worden gegevens zoals SSID-naam, wachtwoord en identificatietokens naar een server van Amazon verstuurd, wat het risico op netwerkinbraak vergroot. Ondanks een firmware-update blijft het beveiligingsprobleem bestaan en Testaankoop adviseert daarom om deze routers niet te kopen vanwege het gevaar voor gegevensverlies. Linksys heeft tot nu toe niet adequaat gereageerd op het probleem, waardoor consumenten geconfronteerd worden met een potentieel risico op cyberaanvallen. 1


Beveiligingsproblemen in RADIUS-protocol blootgelegd door Blast-RADIUS-aanval

Het populaire RADIUS-protocol dat vaak wordt gebruikt voor toegangsbeheer tot netwerken en netwerkapparatuur, is kwetsbaar voor spoofingaanvallen. Onderzoekers, waaronder die van het Nederlandse Centrum Wiskunde & Informatica (CWI), hebben een kwetsbaarheid genaamd Blast-RADIUS ontdekt. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om in te loggen op apparaten die RADIUS voor authenticatie gebruiken en zichzelf netwerkrechten te geven. De aanval maakt gebruik van een basale kwetsbaarheid in de RADIUS-protocolspecificatie door een MD5-hash te gebruiken voor verificatie, wat een chosen-prefix collision mogelijk maakt. Beheerders wordt geadviseerd om te controleren of er patches beschikbaar zijn voor hun apparatuur, en het gebruik van RADIUS/TLS wordt aanbevolen voor betere beveiliging. 1


Kwetsbaarheid in de veelgebruikte Ghostscript-bibliotheek biedt aanvalsmogelijkheid

Een recent ontdekte kwetsbaarheid in de Ghostscript-documentconversietoolkit, die veel wordt gebruikt op Linux-systemen, maakt het mogelijk voor aanvallers om op afstand code uit te voeren. De kwetsbaarheid, bekend als CVE-2024-29510, stelt aanvallers in staat om de -dSAFER sandbox te omzeilen, waardoor ze gevaarlijke bewerkingen kunnen uitvoeren, zoals het uitvoeren van opdrachten en het manipuleren van bestanden. Codean Labs heeft aanbevolen om Ghostscript bij te werken naar de nieuwste versie om deze kwetsbaarheid te verhelpen. De ontwikkelaars van Ghostscript hebben de kwetsbaarheid in mei gepatcht, maar aanvallers maken al gebruik van deze kwetsbaarheid in het wild door EPS-bestanden te gebruiken die zich voordoen als JPG-bestanden. Het is cruciaal om Ghostscript bij te werken naar versie 10.03.1 om deze kwetsbaarheid te verhelpen en mogelijke aanvallen te voorkomen. 1


⚠️ Miljoenen OpenSSH-servers mogelijk kwetsbaar voor regreSSHion-lek; 95.000 in Nederland en 49.000 in België

The Shadowserver Foundation heeft via een online scan ontdekt dat mogelijk 4,5 miljoen OpenSSH-servers, waarvan ongeveer 95.000 in Nederland en 49.000 in Belgie, kwetsbaar zijn voor het recentelijk ontdekte 'regreSSHion'-lek. Deze kwetsbaarheid, ook bekend als CVE-2024-6387, stelt ongeauthenticeerde aanvallers in staat om op afstand code uit te voeren met root-rechten op kwetsbare servers. OpenSSH is een veelgebruikte verzameling van netwerktools gebaseerd op het SSH-protocol. De scan identificeerde in totaal meer dan 23,5 miljoen OpenSSH-servers wereldwijd. Hoewel de scan versiegebaseerd was en daardoor mogelijk onnauwkeurig, benadrukt The Shadowserver Foundation het belang van updaten naar OpenSSH 9.8 voor alle serverbeheerders. Het is belangrijk op te merken dat oudere versies met beveiligingspatches mogelijk niet kwetsbaar zijn, en dat een scan op basis van versienummers alleen niet altijd betrouwbare resultaten oplevert. Desondanks wordt aangeraden om veiligheidsmaatregelen te nemen en systemen bij te werken. 1


Kritieke kwetsbaarheid in Exim-mailservers ontdekt

Een ernstige kwetsbaarheid in Exim, een populaire e-mailserversoftware, maakt het mogelijk voor aanvallers om beveiligingsmaatregelen te omzeilen en schadelijke uitvoerbare bestanden naar gebruikers te sturen. Deze kwetsbaarheid, aangeduid als CVE-2024-39929, treft alle versies van Exim tot en met 4.97.1. Het probleem ontstaat wanneer de software bestandsnamen in e-mailbijlagen niet correct verwerkt, wat leidt tot het omzeilen van de extensieblokkade. Ondanks de ernst van deze kwetsbaarheid, die een impactscore van 9,1 op een schaal van 10 heeft gekregen, is er nog geen definitieve update beschikbaar. Er is wel een release candidate van versie 4.98 uitgebracht die het probleem aanpakt, maar de releasedatum voor de definitieve versie is nog onbekend. Het wordt beheerders aangeraden om hun systemen te monitoren en passende beveiligingsmaatregelen te nemen totdat een volledige fix beschikbaar is. 1, 2


7-Zip Verhelpt Buffer Overflow-Kwetsbaarheid Zonder Aankondiging

De ontwikkelaar van de populaire archiveringssoftware 7-Zip heeft onlangs in stilte een buffer overflow-kwetsbaarheid en een ander beveiligingslek in het programma opgelost. Deze kwetsbaarheden werden niet vermeld in de releasenotes of op enige andere manier aan gebruikers gecommuniceerd. Beveiligingsonderzoeker Maxim Suhanov ontdekte deze kwetsbaarheden en rapporteerde ze vorig jaar aan de ontwikkelaar van 7-Zip. De eerste kwetsbaarheid (CVE-2023-52168) betreft een buffer overflow in de 'NTFS handler' van 7-Zip, waardoor een aanvaller mogelijk code kan uitvoeren. Dit beveiligingslek is echter moeilijk te misbruiken omdat een aanvaller het doelwit een kwaadaardig archiefbestand moet laten openen. De tweede kwetsbaarheid maakt een out-of-bounds read mogelijk en kan vooral problematisch zijn voor webservices die gebruikersbestanden verwerken met 7-Zip. Beide kwetsbaarheden werden in augustus vorig jaar gerapporteerd en zijn verholpen in de 7-Zip versie '24.01 beta' van januari dit jaar. Deze aanpassingen zijn echter niet gedocumenteerd in de changelog of elders op de 7-Zip-website. 1, 2


Kwetsbaarheid in Xerox WorkCentre-printers stelt aanvallers in staat om op afstand code uit te voeren

Een recent ontdekte kwetsbaarheid in Xerox WorkCentre-printers maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand willekeurige code op het systeem uit te voeren. Dit probleem werd gevonden door beveiligingsonderzoeker Arseniy Sharoglazov van Positive Technologies, die nu de details openbaar heeft gemaakt. De kwetsbaarheid stelt aanvallers in staat om door middel van een speciaal geprepareerd verzoek toegang te krijgen, zonder dat authenticatie vereist is. Hoewel Xerox het probleem al in juni vorig jaar zou hebben verholpen, is er geen CVE-nummer of beveiligingsbulletin uitgegeven. Naast deze kwetsbaarheid ontdekte Sharoglazov ook een ander lek waarmee aanvallers rootrechten kunnen verkrijgen en toegang kunnen krijgen tot directories met externe USB-apparaten. Hierdoor kunnen documenten gedownload of aangepast worden. Ondanks de ernst van deze kwetsbaarheden, ontbreken verdere details over de oplossingen. 1


Kwetsbaarheid in Factorio maakt serveraanvallen mogelijk

Een beveiligingslek in de populaire game Factorio stelde malafide servers in staat om schadelijke code op de systemen van spelers uit te voeren. Dit probleem, ontdekt door een beveiligingsonderzoeker en opgelost in de 1.1.101-update van december, werd onlangs openbaar gemaakt. Factorio, een spel waarbij spelers fabrieken bouwen, gebruikt de programmeertaal Lua voor logica en zelfgemaakte mappen. De multiplayer modus synchroniseert acties tussen spelers, waardoor kwaadwillenden deze functie kunnen misbruiken. Door een map met malafide Lua-code aan te bieden, kan een aanvaller code op de systemen van verbonden spelers uitvoeren. Deze map maakt gebruik van een kwetsbaarheid in de Lua interpreter van Factorio, waardoor het mogelijk is om geheugenlekken en 'fake objects' te creëren, die uiteindelijk leiden tot de uitvoering van kwaadaardige code. Spelers worden geadviseerd om alleen verbinding te maken met vertrouwde servers om dergelijke aanvallen te voorkomen. 1, 2, 3


Google Belooft $250.000 voor KVM Zero-Day Kwetsbaarheden

Google heeft het kvmCTF-programma gelanceerd, een nieuw beloningsprogramma voor kwetsbaarheden dat werd aangekondigd in oktober 2023. Dit programma is gericht op het verbeteren van de beveiliging van de Kernel-based Virtual Machine (KVM) hypervisor. KVM, een open-source hypervisor die al meer dan 17 jaar in ontwikkeling is, is essentieel voor zowel consumenten- als bedrijfsomgevingen, en ondersteunt onder andere Android en Google Cloud. Het kvmCTF-programma biedt beloningen tot $250.000 voor volledige VM-escape-exploits. Andere beloningen variëren van $10.000 tot $100.000, afhankelijk van de ernst van de gevonden kwetsbaarheid. Het programma biedt beveiligingsonderzoekers een gecontroleerde labomgeving om hun exploits te testen en vlaggen te verzamelen als bewijs van hun succes. Alleen zero-day kwetsbaarheden komen in aanmerking voor beloningen; bekende kwetsbaarheden worden niet beloond. Google zal details van ontdekte zero-day kwetsbaarheden pas ontvangen nadat upstream patches zijn uitgebracht, om te zorgen dat de informatie gelijktijdig wordt gedeeld met de open-source community. Hiermee toont Google hun toewijding aan hoge beveiligingsnormen en samenwerking binnen de techgemeenschap. 1, 2


QNAP Waarschuwt voor OpenSSH-kwetsbaarheid in NAS-besturingssysteem

QNAP heeft een waarschuwing uitgegeven voor een kwetsbaarheid in OpenSSH, die aanwezig is in twee Release Candidates van hun NAS-besturingssystemen QTS 5.2.0 en QuTS hero h5.2.0. Deze kwetsbaarheid, bekend als 'regreSSHion', maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand code uit te voeren met root-rechten op kwetsbare servers. De fout is veroorzaakt door een 'signal handler race condition' in de OpenSSH server (sshd) en komt voor bij glibc-gebaseerde Linux-systemen. Hoewel OpenSSH het probleem heeft opgelost, zijn de getroffen QNAP-versies nog steeds kwetsbaar. Gebruikers wordt aangeraden de SSH-service uit te schakelen, wat standaard al het geval is. Als SSH toch nodig is, adviseert QNAP om poort 22 niet te gebruiken en IP Access Protection in te schakelen. Officiële releases van andere QNAP-besturingssystemen, zoals QTS 5.1.x en QuTS hero h5.1.x, zijn niet getroffen. QNAP belooft dat de kwetsbaarheid in de officiële versies van QTS 5.2.0 en QuTS hero h5.2.0 zal worden verholpen. 1


⚠️ Google Dicht Kritiek Androidlek in Juli Patchronde

Google heeft opnieuw een kritieke kwetsbaarheid in Android verholpen die apps en lokale gebruikers in staat stelde om zonder aanvullende permissies hun rechten te verhogen. Tijdens de patchronde van juli werden 29 kwetsbaarheden gerepareerd, waaronder CVE-2024-3132, die zich in het Android Framework bevindt en als kritiek is aangemerkt. Dit soort beveiligingslekken, ook wel "escalation of privilege" genoemd, worden zelden als kritiek bestempeld. Updates zijn uitgebracht voor Android 12, 12L, 13 en 14. Google informeerde fabrikanten een maand geleden al over deze kwetsbaarheden, maar niet alle Androidtoestellen ontvangen direct de updates, omdat sommige apparaten niet meer worden ondersteund of updates later worden uitgerold. Toestellen die de juli-updates ontvangen, zullen een patchniveau van '2024-07-01' of '2024-07-05' hebben. 1


⚠️ Cisco Verhelpt NX-OS Zero-Day Misbruik door Aangepaste Malware

Cisco heeft een kritieke kwetsbaarheid in NX-OS, CVE-2024-20399, verholpen. Deze zero-day exploit stelde aanvallers in staat om aangepaste malware op kwetsbare switches te installeren. De Chinese staatssponsor Velvet Ant voerde aanvallen uit in april, waarbij ze beheerdersreferenties verzamelden en kwaadaardige code uitvoerden op getroffen Cisco Nexus switches. De exploit maakt gebruik van onvoldoende argumentvalidatie in CLI-commando's, waardoor aanvallers root-toegang konden verkrijgen zonder syslog-waarschuwingen te triggeren. Cisco adviseert regelmatige wijziging van beheerderswachtwoorden en gebruik van de Cisco Software Checker om kwetsbare apparaten te identificeren. 1, 2


⚠️ Kritieke kwetsbaarheid treft 700.000 OpenSSH-servers

Een ernstige kwetsbaarheid in OpenSSH stelt ongeauthenticeerde aanvallers in staat om op afstand code uit te voeren als root op kwetsbare servers, waardoor volledige controle over het systeem mogelijk is. Deze kwetsbaarheid, aangeduid als CVE-2024-6387 en door securitybedrijf Qualys 'regreSSHion' genoemd, treft ongeveer 700.000 systemen wereldwijd. OpenSSH, een verzameling netwerktools gebaseerd op het SSH-protocol, bevat een 'signal handler race condition' in de server (sshd), waardoor remote code execution mogelijk is op glibc-gebaseerde Linux-systemen. Het probleem, een regressie van een eerder in 2006 verholpen lek (CVE-2006-5051), werd opnieuw geïntroduceerd met de release van OpenSSH 8.5p1 in oktober 2020. Hoewel OpenBSD-systemen niet kwetsbaar zijn, worden beheerders van andere systemen aangespoord hun OpenSSH-pakketten te updaten of de configuratie aan te passen om misbruik te voorkomen. Qualys heeft bewust nog geen exploitcode gepubliceerd om misbruik tegen te gaan. 1, 2, 3


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Maandoverzicht: Cyberkwetsbaarheden in focus