Analyse van kwetsbaarheden op het gebied van cyberbeveiliging november 2024

In deze podcast bespreken we een overzicht van wereldwijde cyberaanvallen in november 2024. Rusland, China en Noord-Korea worden genoemd als belangrijke actoren in deze aanvallen. Rusland voerde complexe aanvallen uit op satellieten en verspreidde propaganda, terwijl China zich richtte op spionage en het aanvallen van telecommunicatienetwerken. Noord-Korea was actief met cryptohacks en malware. Daarnaast komen hacktivisten aan bod die datalekken veroorzaakten, vaak met politieke motieven. Dit alles benadrukt de toenemende complexiteit en verwevenheid van cyberoorlogvoering, en de gevaren van zowel staatsgesponsorde als niet-staatsgesponsorde cyberactiviteiten.

Deze podcast is AI-gegeneerd.

In november 2024 werden tal van kwetsbaarheden ontdekt en gepatcht in verschillende software- en hardwareproducten. Deze maandelijkse samenvatting belicht enkele van de meest kritieke kwetsbaarheden, variërend van zero-day aanvallen tot beveiligingslekken in populaire software en apparaten. Bedrijven en consumenten dienen waakzaam te blijven voor deze bedreigingen, aangezien de impact op de digitale veiligheid aanzienlijk kan zijn. Hieronder wordt een overzicht gegeven van de belangrijkste kwetsbaarheden die deze maand werden ontdekt en gepatcht.

Belangrijke zero-day kwetsbaarheden en updates

In november 2024 kwamen verschillende zero-day kwetsbaarheden aan het licht, waarbij twee van deze kwetsbaarheden actief werden misbruikt door aanvallers. Microsoft, een van de grootste leveranciers van software, bracht op de maandelijkse patch dinsdag updates uit voor 91 kwetsbaarheden, waaronder vier zero-days. Twee van deze kwetsbaarheden werden actief misbruikt:

• NTLM-hash openbaarmaking (CVE-2024-43451): Deze kwetsbaarheid stelt aanvallers in staat om NTLM-hashes bloot te stellen via een kwaadwillig bestand. Dit kan leiden tot de ontcijfering van wachtwoorden of verdere aanvallen. Het risico wordt vergroot door het beperkte contact dat nodig is met het bestand. NTLM-hashes worden gebruikt in Windows-omgevingen voor het authenticeren van gebruikers en het autoriseren van toegang. Wanneer deze hashes openbaar worden gemaakt, kan een aanvaller deze gebruiken om toegang te krijgen tot andere delen van het netwerk. Aanvallers kunnen deze kwetsbaarheid misbruiken om zich toegang te verschaffen tot gevoelige informatie zonder zich eerst te hoeven authentiseren.

• Privilege escalatie in Windows Taakplanner (CVE-2024-49039): Aanvallers kunnen via deze kwetsbaarheid hun rechten binnen het systeem verhogen, waardoor ze meer controle krijgen over kwetsbare systemen. Dit kan ernstige gevolgen hebben, zoals volledige systeemovername. De Windows Taakplanner is een ingebouwde applicatie die taken op de achtergrond uitvoert. Door misbruik van deze kwetsbaarheid kunnen aanvallers zich rechten toe-eigenen die hen normaal gesproken niet zouden zijn toegewezen, waardoor ze systemen kunnen beheersen zonder toestemming van de gebruiker of systeembeheerder.

Naast deze actieve aanvallen, werden ook twee andere zero-days ontdekt:

• Spoofing in Microsoft Exchange Server (CVE-2024-49040): Deze kwetsbaarheid maakt het voor aanvallers mogelijk om de afzender van een e-mail te vervalsen, waardoor ze vertrouwd lijken te zijn. Dit kan leiden tot phishing-aanvallen waarbij de aanvaller zich voordoet als een vertrouwde afzender, zoals een collega of een bank. Gelukkig werd het probleem verholpen door verdachte e-mails voortaan te markeren, maar organisaties moeten hun Exchange Servers blijven monitoren om te voorkomen dat kwaadwillende e-mails alsnog hun weg vinden naar de inboxen van gebruikers.

• Privilege escalatie in Active Directory Certificate Services (CVE-2024-49019): Deze kwetsbaarheid biedt aanvallers de mogelijkheid om domeinbeheerder-privileges te verkrijgen, wat kan leiden tot grootschalige compromittering van netwerken. Active Directory Certificate Services beheert digitale certificaten die essentieel zijn voor de veilige communicatie tussen systemen. Door misbruik van deze kwetsbaarheid kan een aanvaller de controle over de certificaten krijgen, wat hen in staat stelt om allerlei kwaadaardige acties uit te voeren.

Het is van cruciaal belang dat organisaties deze updates snel toepassen om misbruik van deze kwetsbaarheden te voorkomen.

Kwetsbaarheden in populaire IoT-apparaten en netwerksystemen

Naast softwarekwetsbaarheden waren er in november 2024 ook belangrijke beveiligingslekken ontdekt in IoT-apparaten en netwerksystemen, die ernstige risico's voor bedrijven en consumenten met zich meebrachten:

• Kwetsbaarheden in Philips Smart Verlichting: De slimme verlichting van Philips vertoonde kwetsbaarheden die het mogelijk maakten voor aanvallers om de WiFi-beveiliging te omzeilen en toegang te krijgen tot privé-informatie. Slimme verlichting is een veelvoorkomend onderdeel van slimme huizen, en vaak worden deze systemen niet goed beveiligd. Dit probleem illustreert een bredere bezorgdheid over de beveiliging van IoT-apparaten, waarvan veel gebruik maken van standaardbeveiligingsmaatregelen die eenvoudig te omzeilen zijn.

• Beveiligingslekken in QNAP en Synology NAS-apparaten: Zowel QNAP als Synology hadden kritieke kwetsbaarheden in hun netwerkopslagapparaten (NAS). In beide gevallen werd het aanbevolen om de apparaten onmiddellijk bij te werken om verdere aanvallen te voorkomen. Het lek in QNAP, specifiek in QuRouter, werd actief misbruikt, terwijl Synology snel patches uitbracht na het ontdekken van kritieke fouten. Deze kwetsbaarheden tonen aan hoe belangrijk het is om niet alleen software te patchen, maar ook hardware-apparaten die direct verbonden zijn met netwerken.

• Beveiligingslek in Ricoh-printers: Ricoh multifunctionele printers (MFP's) hadden een ernstige kwetsbaarheid die op afstand misbruikt kon worden, waardoor kwaadwillende actoren gevoelige gegevens konden stelen of de apparaten konden compromitteren. Ricoh heeft verschillende modellen MFP's die wereldwijd worden gebruikt door bedrijven en instellingen. Aangezien deze printers vaak toegang hebben tot bedrijfsnetwerken en gevoelige documenten, kan een misbruikte kwetsbaarheid leiden tot datadiefstal en in sommige gevallen zelfs tot verstoring van bedrijfsprocessen.

• Kwetsbaarheden in Rockwell Automation: Kwetsbaarheden in de FactoryTalk ThinManager van Rockwell Automation dreigden industriële netwerken en systemen te compromitteren. Aangezien deze systemen vaak worden gebruikt in kritieke infrastructuur, kan het misbruik van deze kwetsbaarheden leiden tot ernstige operationele verstoringen. Fabrikanten die gebruik maken van Rockwell's oplossingen voor industriële automatisering moeten erop letten dat ze tijdig patchen, aangezien dergelijke aanvallen grote schade aan industriële productiesystemen kunnen veroorzaken.

Deze incidenten onderstrepen het risico dat IoT-apparaten en netwerksystemen met zich meebrengen voor bedrijven die onvoldoende beveiliging hebben geïmplementeerd.

Beveiligingslekken in populaire software en toepassingen

Naast hardwarekwetsbaarheden werd er in november 2024 ook een reeks ernstige softwareproblemen ontdekt. Onderstaande kwetsbaarheden hadden invloed op veelgebruikte applicaties en platforms:

• Google Chrome: De populaire browser van Google kreeg een beveiligingsupdate om twee ernstige kwetsbaarheden te verhelpen. Deze kwetsbaarheden kunnen leiden tot remote code execution (RCE), waarbij aanvallers in staat zijn om code op de computer van de gebruiker uit te voeren. Dit kan leiden tot de volledige overname van het systeem van de gebruiker, waardoor persoonsgegevens en andere vertrouwelijke gegevens kunnen worden gestolen. Google raadde gebruikers aan om snel de nieuwste versie van Chrome te installeren.

• Google's AI-tool OSS-Fuzz: Google ontdekte 26 kwetsbaarheden in open-source software via zijn AI-tool OSS-Fuzz. Deze kwetsbaarheden kunnen worden misbruikt door aanvallers om servers over te nemen of privégegevens te stelen. OSS-Fuzz is een tool die ontworpen is om automatisch kwetsbaarheden te identificeren in open-source software, en de ontdekking van 26 kwetsbaarheden laat zien hoe belangrijk het is om open-source projecten goed te onderhouden en regelmatig te testen.

• Beveiligingslekken in GitLab: GitLab, een populaire platform voor softwareontwikkeling, bracht updates uit om kwetsbaarheden te verhelpen die remote code execution (RCE) mogelijk maakten. GitLab wordt wereldwijd gebruikt door duizenden bedrijven om software te ontwikkelen en te beheren, waardoor de kwetsbaarheid bijzonder zorgwekkend is voor organisaties die op dit platform vertrouwen voor hun broncodebeheer en CI/CD-pijplijnen.

• Apple macOS-kwetsbaarheid: Apple waarschuwde voor een gevaarlijke kwetsbaarheid in macOS die aanvallers roottoegang zou kunnen geven via een MallocStackLogging-bug. Gebruikers moesten onmiddellijk hun systemen updaten om onwettige toegang tot hun apparaten te voorkomen. Dit soort kwetsbaarheden benadrukt de waarde van tijdige systeemupdates, aangezien aanvallers vaak proberen deze kwetsbaarheden te misbruiken om hun toegang te vergroten.

Dit is slechts een kleine selectie van de kwetsbaarheden die deze maand werden ontdekt, maar het toont aan hoe belangrijk het is om alle software up-to-date te houden om onbedoeld in de handen van cybercriminelen te vallen.

Aandacht voor kritieke kwetsbaarheden in industriële systemen en netwerkbeveiliging

In de maand november werden ook ernstige kwetsbaarheden in industriële systemen en netwerkbeveiligingssoftware ontdekt. De impact van dergelijke kwetsbaarheden kan verwoestend zijn, vooral wanneer ze in kritieke infrastructuren of netwerkapparatuur worden aangetroffen:

• Kritieke kwetsbaarheden in Rockwell Automation: Kwetsbaarheden in Rockwell’s FactoryTalk ThinManager, een applicatie die wordt gebruikt voor het beheer van industriële processen, vormen een risico voor fabrikanten en andere industriële gebruikers. Het patchen van deze kwetsbaarheden is van vitaal belang om mogelijke aanvallen op systemen te voorkomen. Cyberaanvallen op industriële systemen kunnen leiden tot verstoringen van productieprocessen, verlies van gevoelige bedrijfsinformatie en zelfs schade aan fysieke infrastructuur.

• Kwetsbaarheden in Cisco Access Points: Cisco loste een kwetsbaarheid op die betrekking had op zijn UWRB-access points, welke een Remote Code Execution (RCE) aanval mogelijk maakten. Dergelijke kwetsbaarheden kunnen door aanvallers worden misbruikt om netwerkapparaten over te nemen, wat kan leiden tot netwerkverstoringen, datalekken en de blootstelling van interne bedrijfsgegevens.

• Beveiligingslek in Fortinet: De FortiManager van Fortinet vertoonde een kritieke kwetsbaarheid die op afstand kon worden misbruikt. Organisaties die deze systemen gebruiken, moeten snel de patches toepassen om toegang door onbevoegden te voorkomen. Fortinet-apparaten worden veelvuldig ingezet in netwerkbeveiliging, en kwetsbaarheden in deze apparatuur kunnen de basisbeveiliging van een organisatie ernstig ondermijnen.

• Kritieke kwetsbaarheid in VMware vCenter: VMware vCenter, een populaire oplossing voor datacenters, had een kwetsbaarheid die leidde tot remote code execution. Dit maakte het mogelijk voor aanvallers om servers binnen virtuele netwerken te compromitteren, waardoor ze de controle over belangrijke infrastructuur konden overnemen.

Deze kwetsbaarheden benadrukken de noodzaak van regelmatige beveiligingsaudits en patchmanagement, vooral voor systemen die onderdeel zijn van de kritieke infrastructuur van een organisatie.

Conclusie

De maand november 2024 heeft opnieuw bewezen dat kwetsbaarheden in zowel software als hardware ernstige gevolgen kunnen hebben voor de digitale veiligheid. Van zero-day aanvallen tot kwetsbaarheden in IoT-apparaten en industriële systemen, de risico's zijn enorm. Organisaties en consumenten moeten alert blijven en snel reageren op nieuwe updates om beveiligingslekken te dichten en verdere aanvallen te voorkomen. Het ‘onzichtbare zichtbaar maken’ van deze dreigingen is essentieel om de juiste maatregelen te nemen en zich te wapenen tegen de groeiende cyberrisico’s.

Voor een gedetailleerd overzicht en de oorspronkelijke bronnen van de kwetsbaarheden van de maand november 2024, verwijzen wij u naar de volgende link.

De kwetsbaarheden van deze maand kunt u hier lezen.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.

Meer artikel over kwetsbaarheden