Kwetsbaarheden CVE's
Beveiligingslek in Mozilla VPN kan aanvaller systeemrechten geven
Een kwetsbaarheid in de vpn-software van Mozilla maakt het mogelijk voor een aanvaller die al toegang tot een systeem heeft om systeemrechten te krijgen en zo de machine volledig over te nemen. Mozilla heeft een beveiligingsupdate voor de vpn-software uitgebracht om het probleem te verhelpen. Het is de eerste keer dat een lek in Mozillas vpn-software de impact "high" heeft gekregen. Het beveiligingslek wordt veroorzaakt doordat Mozilla VPN een OpenSSL-configuratie van een onveilige directory kan laden. Een gebruiker of aanvaller met beperkte rechten en toegang tot het systeem kan dit gebruiken om willekeurige code met systeemrechten op het systeem uit te voeren. Daardoor is het mogelijk om volledige controle over de machine te krijgen. De kwetsbaarheid werd door beveiligingsonderzoeker DoHyun Lee aan Mozilla gerapporteerd. Mozillas vpn-dienst is door Mozilla zelf ontwikkeld en maakt gebruik van servers van vpn-provider Mullvad. Sinds de lancering heeft Mozilla drie kwetsbaarheden in de cliëntsoftware verholpen. De impact daarvan was echter als "low" en "moderate" bestempeld, wat op een beperkte impact duidt. De nu verholpen kwetsbaarheid, aangeduid als CVE-2022-0517, is het eerste high-lek in de software. Gebruikers wordt aangeraden om te updaten naar Mozilla VPN 2.7.1.
https://t.co/evA8HWAWJU
— DoHyun Lee (@l33d0hyun) February 26, 2022
CVE-2022-0517 : Mozilla VPN Uncontrolled Search Path Element OpenSSL Configuration Local Privilege Escalation
Working with DNSLab, Korea University pic.twitter.com/0srMlIS4ml
Overheid VS moet actief aangevallen Zimbra-lek voor 11 maart patchen
Federale Amerikaanse overheidsinstanties moeten een actief aangevallen kwetsbaarheid in Zimbra-webmail voor 11 maart hebben gepatcht, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security opgedragen. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. Securitybedrijf Volexity waarschuwde op 3 februari voor een actief aangevallen zerodaylek in Zimbra waar op dat moment geen beveiligingsupdate voor beschikbaar was. Bij de nu waargenomen aanvallen versturen de aanvallers e-mails die een malafide link bevatten. Deze link maakt misbruik van een cross-site scripting (XSS)-kwetsbaarheid in Zimbra. Wanneer een op Zimbra ingelogde gebruiker deze link opent wordt er JavaScript geladen waarmee e-mails en bijlagen worden gestolen. Zimbra was op 16 december over de kwetsbaarheid gewaarschuwd. Volexity vroeg naar eigen zeggen verschillende keren wanneer een patch of andere oplossing beschikbaar was, maar kreeg geen reactie. Daarop publiceerde het securitybedrijf de details van de aanval. Op 5 februari kwam Zimbra met een hotfix, die als tijdelijke oplossing werkt terwijl er een volledige update wordt ontwikkeld. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging aan de lijst bevat in totaal vier kwetsbaarheden waarvan vaststaat dat ze zijn aangevallen. Naast drie oude kwetsbaarheden daterend van 2014 en 2017 gaat het ook om het Zimbra-lek. Deze kwetsbaarheid moet voor 11 maart zijn verholpen, aldus het CISA.
Asustor rolt update uit wegens ransomware-aanval op NAS-systemen
NAS-fabrikant Asustor heeft wegens een ransomware-aanval op NAS-systemen een beveiligingsupdate uitgebracht en ddns-dienst myasustor.com tijdelijk uitgeschakeld. De afgelopen dagen werden NAS-systemen van Asustor het doelwit van de Deadbolt-ransomware, die data op de systemen voor losgeld versleutelt. Eerder werden NAS-systemen van QNAP door deze ransomware getroffen. Het was onduidelijk hoe criminelen de NAS-systemen met de Deadbolt-ransomware konden versleutelen, maar nu blijkt dat er gebruik is gemaakt van kwetsbaarheden in de NAS-software. Details over deze beveiligingslekken zijn nog niet openbaar gemaakt. Wel roept Asustor gebruikers op om de nieuwste firmware te installeren. Na installatie van deze update (ADM 3.5.9) zal het niet langer mogelijk zijn om te downgraden. Verder heeft de NAS-fabrikant besloten om de ddns-dienst myasustor.com tijdelijk uit te schakelen. Dynamic Domain Name System (ddns) zorgt ervoor dat dynamische ip-adressen aan een vast domein worden gekoppeld, zodat de gebruiker alleen het domein hoeft te onthouden. Via myasustor.com kunnen gebruikers zo hun NAS-systeem benaderen. Vooralsnog is het niet mogelijk voor slachtoffers om de versleutelde data te ontsleutelen. Gebruikers wordt tevens geadviseerd een sterk wachtwoord te gebruiken en de standaard webserver-, https- en http-poorten te wijzigen. Tevens moeten SSH en SFTP, wanneer niet in gebruik, worden uitgeschakeld en dienen gebruikers regelmatig back-ups te maken. Vanwege het toenemend aantal ransomware-aanvallen zegt Asustor het eigen beleid tegen het licht te zullen houden om zo het vertrouwen van klanten te herwinnen. Ook maakt het bedrijf excuses voor het ongemak.
Lek in Cisco-switches laat aanvaller commando's als root uitvoeren
Een kwetsbaarheid in verschillende Cisco-switches maakt het mogelijk voor een aanvaller om zonder inloggegevens op afstand commando's met rootrechten uit te voeren. Het beveiligingslek doet zich alleen voor wanneer de NX-API feature is ingeschakeld, wat standaard niet het geval is. Cisco heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. De NX-API is een webgebaseerde gebruikersinterface waarmee commando's zijn in te voeren die normaliter via de commandline worden ingevoerd. Naar de NX-API verstuurde gebruikersinvoer wordt echter niet goed gecontroleerd. Door het versturen van een speciaal geprepareerd HTTP POST request naar de NX-API van een kwetsbare switch kan een aanvaller commando's met rootrechten op het onderliggende besturingssysteem uitvoeren, aldus Cisco. De impact van de kwetsbaarheid, aangeduid als CVE-2022-20650, is op een schaal van 1 tot en met 10 met een 8.8 beoordeeld. Doordat de NX-API niet standaard staat ingeschakeld is de score iets lager dan normaliter het geval is bij dergelijke beveiligingslekken. Het probleem speelt bij de Nexus 3000, 5500, 5600, 6000 en 9000 switches. Cisco heeft updates beschikbaar gemaakt.
NCSC-UK, CISA, FBI en NSA waarschuwen voor compromittatie van SOHO-routers door APT Sandworm
Op 23 februari 2022 hebben NCSC-UK, CISA, FBI en NSA gewaarschuwd voor de compromittatie van ‘small office and home office’ routers van onder andere het merk Watchguard. Deze SOHO-routers worden in de vorm van een botnet door de actor APT Sandworm ingezet voor verschillende doeleinden. Het NCSC heeft aanwijzingen dat ook in Nederland SOHO-routers zijn gecompromitteerd in deze campagne. In samenwerking met FBI, CISA, DOJ en NCSC-UK heeft Watchguard ook een beveiligingsadvies beschikbaar gesteld met aanvullende informatie over het patchen van de kwetsbare Watchguard-routers. Het NCSC adviseert om na te gaan welke netwerkapparatuur u in gebruik heeft, en om zo nodig deze adviezen op te volgen. Daarnaast raadt het NCSC aan om in bredere zin de (on)veiligheid van netwerkapparatuur – evenals de diverse dreigingen daartegen – op te nemen in uw securityaanpak. Zoals blijkt uit de beveiligingsadviezen van het NCSC, is netwerkapparatuur, waaronder firewalls, routers, en VPN-appliances, geregeld kwetsbaar voor misbruik door middel van bekende kwetsbaarheden. Het is realistisch om ervan uit te gaan dat een breed scala aan netwerkapparatuur zowel ontdekte (maar nog niet publieke) kwetsbaarheden evenals nog niet ontdekte kwetsbaarheden bevat. Basismaatregelen zoals patching, netwerksegmentatie, en het reduceren van het aanvalsoppervlak leveren een bijdrage aan uw digitale weerbaarheid. Om persistente aanvallers tegen te gaan is er meer nodig. Richt uw informatiesystemen in vanuit de aanname dat uw netwerkapparatuur kwetsbaar en mogelijk gecompromitteerd is (‘zero trust’). Door een goed ingerichte architectuur is detectie en respons makkelijker, en is de kans groter dat u een aanval kan stoppen voordat deze succesvol is.
Actief aangevallen lek in Zabbix-servers maakt overnemen netwerken mogelijk
Aanvallers maken op dit moment actief misbruik van kwetsbaarheden in Zabbix om servers waarop de monitoringsoplossing draait over te nemen. Iets wat grote gevolgen voor bedrijven en organisaties kan hebben, aangezien het volledige overname van netwerken mogelijk maakt. Zabbix is een oplossing voor het monitoren van de it-infrastructuur, zoals netwerken, servers, virtual machines en clouddiensten. Het is vergelijkbaar met oplossingen als Pandora FMS en Nagios. Vanwege de populariteit, features en rol in het netwerk is Zabbix een aantrekkelijk doelwit voor aanvallers, aldus securitybedrijf SonarSource. Het bedrijf ontdekte een kritieke kwetsbaarheid in de monitoringsoplossing waardoor aanvallers beheerderstoegang tot de Zabbix-server kunnen krijgen en zelfs volledige netwerken kunnen overnemen. Op Zabbix-servers waar SAML SSO-authenticatie is ingeschakeld, wat niet standaard is, is het mogelijk voor aanvallers om de authenticatie te omzeilen en beheerder te worden. Dit wordt veroorzaakt door een onveilige manier waarop Zabbix op clients sessiedata opslaat. "De authenticiteit van de sessie wordt nooit gevalideerd wanneer andere velden dan sessionid worden benaderd. Aangezien cookies volledig worden beheerd door clients, hebben ze gewoon controle over de sessie", aldus de onderzoekers. Naast het feit dat SAML SSO-authenticatie moet zijn ingeschakeld, dient de aanvaller ook de gebruikersnaam van een Zabbix-gebruiker te weten. Dat is volgens de onderzoekers geen probleem, aangezien de Zabbix-frontend standaard met een Admin-gebruiker wordt geconfigureerd. De impact van de kwetsbaarheid, aangeduid als CVE-2022-23131, is op een schaal van 1 tot en met 10 met een 9.1 beoordeeld. Zodra aanvallers als beheerder op de Zabbix-server zijn ingelogd kunnen ze niet alleen willekeurige code op de Zabbix-server uitvoeren, maar ook op alle clients waarop de agent draait. Dit is de software waarmee Zabbix andere systemen monitort. Het uitvoeren van code via de agent zou wel moeten zijn geconfigureerd, wat standaard niet het geval is. Een andere mogelijkheid om clients via de agent aan te vallen is via een andere kwetsbaarheid in de Zabbix-software (CVE-2021-46088). SonarSource ontdekte ook een tweede probleem (CVE-2022-23134) waardoor het bestand setup.php niet alleen toegankelijk is voor super-administrators, maar ook voor ongeauthenticeerde gebruikers. Daardoor is het mogelijk om configuratiebestanden te overschrijven, ook al draait de Zabbix Web Frontend al. Door de configuratie naar een malafide database te laten wijzen kunnen aanvallers zo toegang tot het Zabbix-dashboard krijgen. De kwetsbaarheden werden op 18 november vorig jaar aan Zabbix gerapporteerd. Op 14 december verscheen een update, maar die bleek de problemen niet te verhelpen en kon worden omzeild. Op 22 december deed Zabbix een tweede poging die wel afdoende bleek. Op 29 december bracht het bedrijf een advisory uit. SonarSource publiceerde op 16 februari de details van beide kwetsbaarheden. Gisteren waarschuwde het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security voor actief misbruik van beide kwetsbaarheden en heeft federale overheidsinstanties in de VS verplicht de updates voor 8 maart te installeren.
Cisco waarschuwt firewall-beheerders voor updateprobleem na 5 maart
Cisco heeft beheerders van Firepower-firewalls gewaarschuwd voor een probleem met het ontvangen van dreigingsinformatie na 5 maart. De firewalls kunnen gebruikmaken van Talos Security Intelligence Updates die informatie bevatten over ip-adressen, domeinen en url's gebruikt voor onder andere malware, botnets en spam. Cisco-firewalls kunnen deze informatie automatisch toepassen, zodat beheerders het niet handmatig hoeven toe te voegen. De certificaatautoriteit die voor het signeren van de updates wordt gebruikt zal op 6 maart worden vervangen. Daardoor kunnen firewalls vanaf die datum geen dreigingsinformatie meer ontvangen, wat het "security posture" voor toekomstige dreigingen kan verslechteren, aldus Cisco in een waarschuwing aan klanten. De netwerkfabrikant roept beheerders op om naar een Firepower-versie te updaten waarin het probleem is verholpen. In het geval van Firepower 7.1.x zal deze update naar verwachting pas op 1 maart verschijnen, vier dagen voor de einddatum van de betreffende certificaatautoriteit, wat beheerders weinig tijd geeft om de update door te voeren.
Horde Webmail-accounts en -servers via malafide e-mail over te nemen
Een kwetsbaarheid in de webmailsoftware Horde maakt het mogelijk voor aanvallers om accounts door middel van een malafide e-mail over te nemen en in het ergste geval controle over de server te krijgen. Een beveiligingsupdate is nog niet beschikbaar, ook al werd het probleem zes maanden geleden bij de ontwikkelaars gemeld. Tal van organisaties maken gebruik van Horde voor het aanbieden van webmail aan hun gebruikers. Daarnaast wordt Horde ook meegeleverd als onderdeel van de hostingoplossing cPanel, waarmee veel organisaties hun websites beheren. De kwetsbaarheid werd ontdekt door securitybedrijf SonarSource en is al negen jaar lang in de code van de webmailsoftware aanwezig. Het gaat om een stored cross-site scripting-lek dat via de previewfunctie van de webmail is te misbruiken. Hiervoor zou een aanvaller een speciaal geprepareerd OpenOffice-document als bijlage moeten versturen. Zodra Horde dit document omzet naar XHTML voor een previewweergave, kan kwaadaardige JavaScript in het document worden uitgevoerd. Daarmee kan de aanvaller toegang tot de sessie van de gebruiker krijgen en zo ontvangen en verstuurde e-mails inzien. Horde wordt standaard geleverd met een beheerderspaneel, waarmee een beheerder willekeurige systeemcommando's op de Horde-server kan uitvoeren. Wanneer een aanvaller erin slaagt om een beheerder succesvol an te vallen, is het zo mogelijk om de webmailserver over te nemen. Het probleem werd op 26 augustus aan Horde gerapporteerd en een aantal dagen later door het ontwikkelteam bevestigd. Een beveiligingsupdate is echter nog altijd niet beschikbaar gemaakt. SonarSource heeft nu besloten details van de kwetsbaarheid openbaar te maken, alsmede een onofficiële oplossing die beheerders kunnen nemen om hun server te beschermen. Hiervoor moet aan het bestand config/mime_drivers.php een optie voor de OpenOffice mime handler worden toegevoegd.
Criminelen maken actief misbruik van lek in beveiligingscamera's Hikvision
Criminelen maken actief misbruik van een kritieke kwetsbaarheid in beveiligingscamera's van fabrikant Hikvision. De apparaten worden onderdeel gemaakt van een botnet dat ddos-aanvallen uitvoert, maar zijn ook te gebruiken voor verdere aanvallen tegen het achterliggende netwerk, zo waarschuwt securitybedrijf Rapid7. Sinds vorig jaar september zijn er beveiligingsupdates voor het lek beschikbaar. De kwetsbaarheid, aangeduid als CVE-2021-36260, is aanwezig in de webserver van de Hikvision-camera's en wordt door een onvoldoende controle van gebruikersinvoer veroorzaakt. Door het versturen van speciaal geprepareerd request is het mogelijk voor een aanvaller om een onbeperkte rootshell op het apparaat te krijgen. De aanvaller hoeft daarbij niet over inloggegevens te beschikken. De enige voorwaarde om de aanval uit te voeren is dat een aanvaller toegang tot de ip-camera heeft. Er is ook geen interactie van de gebruiker vereist. Via de rootshell heeft de aanvaller volledige controle over de ip-camera en kan zo meekijken of malware installeren. Daarnaast is het mogelijk om vanaf de gecompromitteerde camera het achterliggende netwerk aan te vallen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9.8 beoordeeld. Via zoekmachine Shodan zijn meer dan drie miljoen Hikvision-apparaten te vinden. Hoewel alleen een subset van modellen kwetsbaar is, gaat het nog steeds om mogelijk veel kwetsbare camera's, meldt Rapid7. De camera's beschikken niet over een automatische updatefunctie en worden binnen het patchmanagement vaak vergeten, waardoor gebruikers en organisaties met kwetsbare apparaten blijven zitten, zo laat het securitybedrijf verder weten. Sinds afgelopen december maakt het ddos-botnet Moobot gebruik van de kwetsbaarheid om Hikvision-camera's te infecteren en voor ddos-aanvallen te gebruiken. Volgens Rapid7 is dat niet de grootste zorg. Een veel groter probleem is dat aanvallers de gecompromitteerde camera's als springplank voor aanvallen tegen het achterliggende netwerk kunnen gebruiken. "En omdat de camera geen manier heeft om interne malware te vinden en verwijderen, is het een ideale plek voor een aanvaller om zich te verbergen en aanvallen vandaan uit te voeren", aldus de onderzoekers.
Active DDoS malware command-and-control (C2) server detected.
— Bad Packets (@bad_packets) February 16, 2022
IP address: 5.182.211.5 (🇳🇱)
C2 ports:
44115/tcp
60195/tcp
Payload:
/ohsitsvegawellrip.sh
KKveTTgaAAsecNNaaaa.*https://t.co/rcnAO8a3Le
CVEs targeted:
Netgear (multiple)
Hikvision (CVE-2021-36260)#threatintel
Webwinkels kwetsbaar door kritiek lek in Adobe Commerce en Magento
Onderzoekers hebben een kritieke kwetsbaarheid in webwinkelsoftware Adobe Commerce en Magento Open Source ontdekt waardoor het mogelijk is om webshops op afstand over te nemen. Adobe heeft beveiligingsupdates uitgebracht om de kwetsbaarheid te verhelpen. Honderdduizenden webshops draaien op Adobe Commerce, dat eerder nog bekendstond als Magento Commerce, en Magento Open Source. Afgelopen zondag kwam Adobe wegens een actief aangevallen zerodaylek (CVE-2022-24086) met een noodpatch. Nu blijkt er nog een kritieke kwetsbaarheid in de software aanwezig te zijn. De impact van dit beveiligingslek, aangeduid als CVE-2022-24087, is op een schaal van 1 tot en met 10 met een 9.8 beoordeeld. Dezelfde impactscore als het zerodaylek van afgelopen zondag. Een andere overeenkomst met het zerodaylek is dat de nieuwe kwetsbaarheid wordt veroorzaakt door het niet goed controleren van gebruikersinvoer. Dit maakt het mogelijk voor een aanvaller om willekeurige code uit te voeren en de webshop over te nemen. Volgens Adobe wordt er voor zover bekend nog geen misbruik van CVE-2022-24087 gemaakt. Webshops wordt dringend aangeraden om de update zo snel mogelijk te installeren.
Lemmings-lek in Ubuntu kan lokale gebruiker rootrechten geven
Onderzoekers van securitybedrijf Qualys hebben een kwetsbaarheid in Ubuntu gevonden waardoor een ongeprivilegieerde gebruiker rootrechten kan krijgen. Er zijn updates uitgebracht om het probleem te verhelpen. De kwetsbaarheid, aangeduid als CVE-2021-44731 en "Oh Snap! More Lemmings", is aanwezig in Snap, een door Canonical ontwikkelde packagemanager voor Linux. De packages worden snaps genaamd en zijn via de tool snapd te gebruiken. Ze werken op allerlei Linux-distributies en maken het mogelijk voor softwareontwikkelaars om hun applicaties direct onder gebruikers te verspreiden. Snaps zijn 'self-contained' applicaties die binnen een eigen sandbox draaien. Snapd maakt gebruik van het SUID-root programa snap-confine om de omgeving voor snap-applicaties te genereren. Vanwege de 31ste verjaardag van het computerspel Lemmings besloot Qualys de kwetsbaarheid hiernaar te vernoemen. Het beveiligingslek wordt veroorzaakt door een zogeheten race-condition in snap-confine waardoor een lokale gebruiker zonder rechten uiteindelijk code met rootrechten kan uitvoeren, zoals hieronder wordt uitgelegd. De standaardinstallatie van Ubuntu Desktop is kwetsbaar. In het geval van Ubuntu Server gaat het om een "bijna" standaardinstallatie, aldus de onderzoekers. Ubuntu werd op 27 oktober vorig jaar over het lek ingelicht en kwam begin deze maand met updates.
WordPress forceert UpdraftPlus-update op 2,8 miljoen websites
WordPress heeft op 2,8 miljoen websites die gebruikmaken van de UpdraftPlus-plug-in een beveiligingsupdate geïnstalleerd. Via de kwetsbaarheid kan een aanvaller toegang tot databaseback-ups krijgen, die gebruikersnamen en gehashte wachtwoorden kunnen bevatten. UpdraftPlus is een plug-in voor het maken van back-ups van WordPress-sites naar de cloud. Zo is het mogelijk om direct een back-up in bijvoorbeeld Dropbox of Google Drive op te slaan. Een kwetsbaarheid in de plug-in maakt het mogelijk voor gebruikers met een account, waaronder het allerlaagste subscriber-niveau, om back-ups van de website te downloaden.De kwetsbaarheid, aangeduid als CVE-2022-0633, werd gevonden door securitybedrijf Jetpack. De ontwikkelaars van UpdraftPlus werden op 14 februari over het probleem ingelicht en kwamen op 16 februari met versie 1.22.3 waarin het probleem is verholpen. Vervolgens werd door WordPress tot "forced auto-updates" besloten. UpdraftPlus is op meer dan drie miljoen websites geïnstalleerd. Uit cijfers van WordPress blijkt dat zo'n 2,8 miljoen websites de update inmiddels hebben ontvangen. Het komt zelden voor dat WordPress een update geforceerd uitrolt. Vorig jaar deed het dit onder andere voor lekken in een WooCommerce-plug-in en de Jetpack-plug-in.
QNAP gaat bepaalde nas-systemen langer van beveiligingsupdates voorzien
QNAP gaat bepaalde nas-systemen langer van kritieke beveiligingsupdates voorzien, hoewel deze een end-of-lifestatus hebben. Dergelijke apparaten ontvangen nu tot oktober 2022 beveiligingsupdates. Normaal gesproken geeft QNAP zijn eol-systemen vier jaar lang beveiligingsupdates. Het bedrijf geeft nu aan dat het bepaalde nas-systemen tot oktober blijft updaten om deze te beschermen tegen 'evoluerende securitydreigingen' en om gebruikers meer tijd te geven om hun apparaat te upgraden naar een nieuwer model. Het gaat om x86-64bit-apparaten en nas-systemen met een Arm-chip die momenteel nog oudere versies van QTS draaien. Specifiek betreffen dat QTS-versies 4.2.6 en 4.3.3 uit mei 2017, 4.3.6 uit maart 2019 en 4.4.1 uit september 2019. De updates blijven beperkt tot patches voor kwetsbaarheden die als 'high' of 'kritiek' worden aangemerkt. QNAP raadt gebruikers ook aan om nas-apparaten die eol zijn niet 'bloot te stellen' aan het internet om deze te beschermen tegen ongepatchte kwetsbaarheden. Het bedrijf gaf dat advies in januari ook al. Toen ging ransomware rond die werd gericht op QNAP-systemen die toegankelijk zijn via het internet. Dat betrof bijvoorbeeld DeadBolt. Ook Qlocker dook in januari weer op. QNAP riep gebruikers ook op om de upnp-functie van hun nas uit te zetten en portforwarding uit te schakelen in hun router.
Noodupdate voor Google Chrome vanwege zeroday-lek
Google heeft een noodupdate uitgebracht om veiligheidsproblemen op te lossen. Een van de kwetsbaarheden die wordt gepatcht is een zogenaamd zeroday-lek, een nieuw ontdekte fout, die al door hackers wordt misbruikt. De update naar versie 98.0.4758.102 van Chrome zal acht beveiligingslekken oplossen. Google bevestigt dat één daarvan een zogenaamd zeroday-kwetsbaarheid is. Dat is een fout die eerst door hackers wordt ontdekt, voordat ontwikkelaars er iets van afweten. In dit geval zegt Google dat er al misbruik wordt gemaakt van de fout. Er zijn niet veel details bekend over het lek. Wat wel bekend is, is dat het zich in het 'animations'-deel van de browser bevindt en dat hackers mogelijk code binnen een gehackte browser zouden kunnen uitvoeren. Daarbij zouden boosdoeners in het slechtste geval websites kunnen aanpassen.Het is niet ongebruikelijk dat Google geen details vrijgeeft. Op die manier wil het bedrijf voorkomen dat de fout op grote schaal misbruikt zou worden. Nadat de meeste gebruikers de update hebben kunnen installeren, zal Google mogelijk meer informatie verschaffen.
Adobe verhelpt actief aangevallen zerodaylek in Adobe Commerce
Adobe heeft beveiligingsupdates uitgebracht voor een actief aangevallen zerodaylek in Adobe Commerce, dat eerder nog bekendstond als Magento Commerce. Dezelfde kwetsbaarheid is ook verholpen in Magento Open Source. Adobe Commerce en Magento Open Source zijn software waarop honderdduizenden webshops draaien. Volgens Adobe hebben aanvallers misbruik gemaakt van een kwetsbaarheid in beide softwarepakketten, aangeduid als CVE-2022-24086. Het beveiligingslek is gebruikt bij "zeer beperkte gericht aanvallen" tegen webwinkels die op Adobe Commerce draaien. Het niet goed controleren van invoer is de oorzaak van de kwetsbaarheid, wat een aanvaller willekeurige code laat uitvoeren. Hierdoor is het mogelijk om de webshop over te nemen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9.8 beoordeeld. Zo heeft een aanvaller geen inloggegevens nodig. Adobe adviseert webshopbeheerders om de beveiligingsupdate zo snel mogelijk te installeren, waarbij Adobe als voorbeeld een installatie binnen 72 uur geeft.
Apple rolt updates uit voor actief aangevallen zerodaylek in iOS en macOS
Apple heeft beveiligingsupdates beschikbaar gemaakt voor een actief aangevallen zerodaylek in iOS, iPadOS en macOS. Twee weken geleden kwam het techbedrijf vanwege een zeroday-aanval ook al met patches. Via het beveiligingslek kan een aanvaller willekeurige code op systemen uitvoeren, waarbij alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een malafide advertentie voldoende is. De kwetsbaarheid, aangeduid als CVE-2022-22620, bevindt zich in WebKit. Dit is de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om gebruik te maken van WebKit. Door het verwerken van malafide webcontent ontstaat er een "use after free" kwetsbaarheid en is het uitvoeren van willekeurige code op het systeem mogelijk. Hiervoor is geen interactie van de gebruiker vereist, behalve het bezoeken van bijvoorbeeld een compromitteerde website. Dit wordt ook wel een drive-by download genoemd. Apple heeft nu beveiligingsupdates voor Safari, macOS Monterey en iOS en iPadOS uitgebracht. Details over de waargenomen aanvallen zijn niet gegeven. Vorig jaar kwam Apple met beveiligingsupdates voor in totaal zeventien zerodaylekken.
20.000 WordPress-sites kwetsbaar door kritieke lekken in PHP Everywhere
Ruim twintigduizend WordPress-sites zijn kwetsbaar door een lek in de plug-in PHP Everywhere waardoor aanvallers websites op afstand kunnen overnemen. PHP Everywhere is een plug-in voor WordPress-sites die het mogelijk maakt om PHP-code op onder andere pagina's, posts en de sidebar te gebruiken. De plug-in is op meer dan dertigduizend WordPress-sites geïnstalleerd. Drie kwetsbaarheden in de plug-in maken het mogelijk voor geauthenticeerde gebruikers van elk niveau, waaronder abonnees en klanten, om willekeurige PHP-code op de website uit te voeren en die zo over te nemen. De impact van de drie kwetsbaarheden is op een schaal van 1 tot en met 10 met een 9.9 beoordeeld. De beveiligingslekken werden op 4 januari door securitybedrijf Wordfence aan de ontwikkelaar gerapporteerd. Op 12 januari kwam de ontwikkelaar met PHP Everywhere versie 3.0.0 waarin de drie kwetsbaarheden zijn verholpen. Uit cijfers van WordPress blijkt dat deze versie pas op een kleine 31 procent van de WordPress-sites is geïnstalleerd, wat inhoudt dat nog ruim twintigduizend WordPress-sites risico lopen. Beheerders wordt aangeraden om naar de nieuwste versie te updaten.
QNAP adviseert uitschakelen SMBv1 op NAS-systemen wegens Samba-lek
QNAP heeft NAS-gebruikers vandaag opgeroepen om het SMBv1-protocol op NAS-systemen uit te schakelen en gasten geen toegang tot gedeelde mappen te geven. Aanleiding is een kritieke kwetsbaarheid in Samba waardoor een aanvaller op afstand willekeurige commando's op systemen kan uitvoeren. Samba is een opensourceprogramma dat van het SMB-protocol gebruikmaakt en bijvoorbeeld Windows-machines met Unix-machines via zowel lokale netwerken als het internet laat communiceren. De eerste versie van het SMB-protocol dateert van 1983. Microsoft deed in 2020 nog een oproep om te stoppen met het gebruik van SMBv1. NAS-systemen van QNAP ondersteunen het protocol nog, wat in combinatie met de nu ontdekte kwetsbaarheid in Samba een risico is. QNAP is nog bezig met een onderzoek naar het beveiligingslek en zegt zo snel mogelijk met beveiligingsupdates en verdere informatie te zullen komen. In de tussentijd wordt aangeraden om SMBv1 uit te schakelen en gasten geen toegang tot gedeelde mappen te geven. Dit is via het controlepaneel in te stellen.
Kwetsbaarheden in SAP-software
Vanuit SAP en de US Cybersecurity and Infrastructure Agency (CISA) is een bericht naar buiten gekomen over ernstige kwetsbaarheden in SAP-software. De kwetsbaarheid aangeduid met CVE-2022-22536 is één van acht kwetsbaarheden die is ingeschaald met de hoogste CVSS-score: 10.0.
Deze CVE is specifiek uitgelicht vanwege het hoge risico op uitbuiting. De kwetsbaarheid maakt het voor niet-geautoriseerde aanvallers mogelijk om gevoelige data van SAP-servers te stelen en kan zelfs tot volledige systeemovername leiden.
Om welke SAP-software gaat het?
Volgens SAP zijn tenminste de volgende veelgebruikte producten kwetsbaar:
- Sap NetWeaver
- Sap Web Dispatcher
- Sap Content Server
- Sap ABAP
Wat is het risico?
Via de kwetsbaarheid is het mogelijk om SAP-applicaties en -servers te compromitteren. Het CISA waarschuwt dat dit kan leiden tot diefstal van gevoelige gegevens, financiële fraude, verstoring van cruciale bedrijfsprocessen, ransomware en uitval van alle bedrijfsoperaties.
Wat kun je doen?
Het DTC adviseert in navolging van CISA om zo snel mogelijk de ter beschikking gestelde patch van SAP (zelf of door je IT-leverancier) te bestuderen, beoordelen en indien mogelijk direct uit te voeren. Ga hiervoor snel naar de volledige lijst met door SAP beschikbaar gestelde patches.
Meer informatie en advies over deze kwetsbaarheid lees je hier: CISA & NCSC
Relevante links
SAP-servers door zeer kritieke kwetsbaarheid op afstand over te nemen
Een zeer kritieke kwetsbaarheid in de software van SAP maakt het mogelijk voor aanvallers om SAP-servers op afstand over te nemen, wat grote gevolgen voor organisaties en bedrijven kan hebben. SAP roept organisaties op om het beveiligingslek zo snel mogelijk te verhelpen. Misbruik is eenvoudig en vereist geen authenticatie. Het versturen van een speciaal geprepareerde http-request volstaat, aldus securitybedrijf Onapsis dat het probleem ontdekte. Het beveiligingslek, aangeduid als CVE-2022-22536, is aanwezig in de SAP Internet Communication Manager (ICM). ICM biedt een webserver voor alle SAP-producten die met internet verbonden moeten zijn of via http(s) met elkaar communiceren. Het is daardoor een belangrijk onderdeel van de SAP-stack. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 10.0 beoordeeld. Door het versturen van een speciaal geprepareerd pakket naar een SAP-server kan een ongeauthenticeerde aanvaller gevoelige informatie stelen, zoals inloggegevens en andere sessie-informatie. Misbruik kan tot een volledige systeemovername leiden. SAP-applicaties worden voor allerlei bedrijfsprocessen gebruikt. Via de kwetsbaarheid is het mogelijk om SAP-applicaties en -servers te compromitteren. Dit kan leiden tot diefstal van gevoelige gegevens, financiële fraude, verstoring van cruciale bedrijfsprocessen, ransomware en uitval van alle bedrijfsoperaties, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. SAP heeft beveiligingsupdates uitgebracht voor de SAP Web Dispatcher, SAP Content Server en SAP NetWeaver.
Overheid waarschuwde 361 niet-vitale bedrijven voor kwetsbare software
Het Digital Trust Center (DTC) van het ministerie van Economische Zaken heeft vorig jaar 361 niet-vitale bedrijven direct gewaarschuwd voor het gebruik van kwetsbare software of gelekte wachtwoorden. De overheidsdienst informeerde het bedrijfsleven via de eigen website al over bekende beveiligingslekken, maar neemt sinds afgelopen zomer ook contact op met ondernemingen als die van kwetsbare software gebruikmaken of zijn gecompromitteerd. De specifieke waarschuwingen van het DTC gingen onder andere over kwetsbaarheden in Microsoft Exchange en Pulse Connect Secure en gelekte wachtwoorden voor Fortinet vpn-servers. De informatie waarop de overheidsdienst acteert is afkomstig van derde partijen. Het gaat dan bijvoorbeeld om overzichten met ip-adressen van kwetsbare systemen. Organisaties op dergelijke lijsten kunnen door het DTC worden gebeld of gemaild. Het Nationaal Cyber Security Centrum (NCSC) waarschuwt de Rijksoverheid en vitale bedrijven voor cyberdreigingen. Om niet-vitale bedrijven te kunnen waarschuwen is het DTC een informatiedienst gestart. "Sinds de zomer zijn er 15 verschillende aanleidingen geweest om dergelijke bedrijven te notificeren, waarbij het DTC 361 bedrijven direct gewaarschuwd heeft voor een ernstige cyberdreiging", schrijft minister Adriaansens van Economische Zaken in een brief aan de Tweede Kamer. Om ook bij grootschalige cyberdreigingen die duizenden individuele bedrijven raakt tijdig te kunnen waarschuwen, onderzoekt het DTC de schaalbaarheid van deze informatiedienst. Daarom loopt er parallel aan de uitrol van deze dienst voor het ongevraagd waarschuwen een pilot ‘gevraagd notificeren’. Met een testgroep van 57 bedrijven wordt in een pilot van twaalf maanden onderzocht of deze 'waarschuwingsdienst’ is te automatiseren. Tot op heden zijn er in de pilot zes bedrijven geautomatiseerd gewaarschuwd omtrent diverse kwetsbaarheden. Om de taken en bevoegdheden van het DTC wettelijk te regelen wordt gewerkt aan het wetsvoorstel Bevordering digitale weerbaarheid bedrijven. Het streven is om het wetsvoorstel in het eerste kwartaal van dit jaar door de ministerraad goedgekeurd te krijgen en dan aan de Raad van State voor te leggen. Vooruitlopend op het wetsvoorstel, dat de juridische basis van het DTC nader regelt, is het mogelijk voor het DTC om dreigingsinformatie te kunnen ontvangen, verwerken en delen met niet-vitale bedrijven.
Microsoft vergat te melden dat Windows-lek actief werd aangevallen
Tijdens de eerste patchdinsdag van dit jaar is Microsoft in eerste instantie vergeten te melden dat één van de verholpen kwetsbaarheden al voor het uitkomen van de update actief werd aangevallen. Een aantal dagen later werd de ontbrekende informatie alsnog toegevoegd. De Amerikaanse overheid heeft federale overheidsinstanties nu verplicht om het beveiligingslek voor 18 februari te patchen. Microsoft komt elke tweede dinsdag van de maand met beveiligingsupdates voor Windows en andere software. Daarbij wordt ook vermeld of er al misbruik van de kwetsbaarheid plaatsvindt. Er is dan sprake van een zerodaylek. Geregeld voegt Microsoft op latere momenten informatie aan de beveiligingsbulletins toe. Dat het vergeet te melden dat het om een actief aangevallen kwetsbaarheid gaat is een zeldzaamheid. De kwetsbaarheid in kwestie, aangeduid als CVE-2022-21882, bevindt zich in de Windows-kernel. Via het lek kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen en beheerder- of systeemrechten krijgen. De kwetsbaarheid werd door een Chinese beveiligingsonderzoeker met het alias b2ahex gevonden. Op 11 januari kwam Microsoft met een beveiligingsupdate voor het probleem. In de beschrijving liet het techbedrijven initieel weten dat er geen misbruik van het lek werd gemaakt. Twee dagen later meldde Microsoft dat dit wel het geval was. "Op het moment dat de informatie oorspronkelijk werd gepubliceerd was Microsoft bekend met beperkte, gerichte aanvallen die misbruik van deze kwetsbaarheid proberen te maken." Verdere details over deze aanvallen zijn niet gegeven. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een overzicht van actief aangevallen kwetsbaarheden bij die federale overheidsinstanties verplicht moeten patchen. Afgelopen vrijdag werd CVE-2022-21882 op deze lijst geplaatst en moeten overheidsinstellingen de betreffende update voor 18 februari hebben uitgerold.
Regarding the just-fixed CVE-2022-21882:
— b2ahex (@b2ahex) January 12, 2022
win32k privilege escalation vulnerability,
CVE-2021-1732 patch bypass,easy to exploit,which was used by apt attacks
Microsoft schakelt MSIX protocol handler in Windows uit wegens spoofinglek
Microsoft heeft besloten om de MSIX ms-appinstaller protocol handler in Windows wegens een actief aangevallen spoofinglek voorlopig uit te schakelen, wat gevolgen heeft voor organisaties en gebruikers die apps direct vanaf een webserver installeren of websites die dit aanbieden. De ms-appinstaller protocol handler laat gebruikers door het klikken op een link een applicatie installeren. Hierdoor is het niet langer nodig het volledige package te downloaden. Door het spoofinglek kan een aanvaller aangeven dat een malafide applicatie bijvoorbeeld van Adobe of Microsoft afkomstig is. Een gebruiker zou nog wel moeten worden verleid om de app te installeren. Volgens Microsoft maakt de Emotet/Trickbot/Bazaloader-malware misbruik van deze kwetsbaarheid. In december kwam het techbedrijf, in afwachting van de betreffende beveiligingsupdate, met een workaround. Nu heeft Microsoft besloten om de MSIX protocol handler uit te schakelen. Hierdoor kan de App Installer niet langer een app direct vanaf een webserver installeren. In plaats daarvan moeten gebruikers eerst de app downloaden om die vervolgens via de App Installer te installeren. Volgens Microsoft kan dit bij sommige packages voor een grotere downloadomvang zorgen. Daarnaast heeft de maatregel ook gevolgen voor met name grote organisaties. "We beseffen dat deze feature voor veel ondernemingen essentieel is", zegt Microsofts Dian Hartono. Er wordt daarom naast een update ook gekeken naar een Group Policy waardoor de feature weer op een veilige manier binnen organisaties is in te schakelen. Websites die van het ms-appinstaller protocol gebruikmaken wordt aangeraden om de link naar aangeboden applicaties aan te passen, zodat gebruikers het betreffende bestand gewoon downloaden.
Kritieke kwetsbaarheden in Cisco Small Business Routers
Cisco heeft woensdag 2 februari verschillende beveiligingsupdates vrijgegeven die kwetsbaarheden verhelpen in Cisco Small Business Rv160, RV260, RV340 en RV345 Series Routers. Enkele van de gevonden kwetsbaarheden zijn kritiek en behoeven direct aandacht.
- De kwetsbaarheid met het kenmerk CVE-2022-20699 is geclassificeerd met de hoogste CVSS-score van 10.0. Deze kwetsbaarheid maakt het voor een niet-geauthentiseerde kwaadwillende mogelijk om op afstand willekeurige code uit te voeren.
- Ook de kwetsbaarheid met kenmerk CVE-2022-20700 is aangemerkt met een maximale CVSS-score van 10.0. Deze kwetsbaarheid maakt het een kwaadwillende mogelijk om, in combinatie met andere genoemde kwetsbaarheden, verhoogde rechten te verkrijgen.
- Ook zijn er verschillende kwetsbaarheden gevonden in de web-based management interface van Cisco Small Business RV340, RV345 en Rv345p Dual WAN Gigabit VPN Routers. Door het injecteren van kwaadaardige commando’s kan een aanvaller willekeurige code uitvoeren op het onderliggende systeem. Kwetsbaarheid CVE-2022-20708 wordt eveneens voorzien van de hoogste CVSS-score van 10.0.
Wat kun je doen?
- Raadpleeg het overzicht van Cisco om te zien of ook jouw systemen geraakt worden. Als je niet zelf verantwoordelijk bent voor jouw Cisco-producten of niet zeker weet of je gebruikt maakt van een kwetsbaar systeem, neem dan snel contact op met je IT-dienstverlener.
- Installeer direct de door Cisco ter beschikking gestelde updates, waarbij we nogmaals specifieke aandacht vragen voor de volgende producten:
- Cisco RV340
- RV340W
- RV345
- RV345P Dual WAN Gigabit VPN Routers
Uitgebreide en actuele informatie over deze kwetsbaarheden is op de website van Cisco te vinden.
Kritieke kwetsbaarheid in Samba-module laat aanvaller code als root uitvoeren
Er is een kritieke kwetsbaarheid in een VFS-module van Samba gevonden waardoor een aanvaller op afstand op kwetsbare systemen code als root kan uitvoeren. Samba heeft beveiligingsupdates uitgebracht om de kwetsbaarheid, aangeduid als CVE-2021-44142, te verhelpen. Samba is een opensourceprogramma dat van het smb-protocol gebruikmaakt en bijvoorbeeld Windows-machines met Unix-machines via zowel lokale netwerken als het internet laat communiceren. Via verschillende Virtual File System (VFS) modules is het mogelijk om de mogelijkheden van Samba verder uit te breiden. Een van deze modules is vfs_fruit, die voor betere compatibiliteit met Apple Server Message Block (SMB) clients en interoperabiliteit met Netatalk 3 Apple Filing Protocol (AFP) fileservers zorgt. Een remote aanvaller met schrijftoegang tot de extended file attributes van vfs_fruit kan willekeurige code met de rechten van de Samba-daemon uitvoeren, wat meestal root is. De kwetsbaarheid werd gevonden door de bekende beveiligingsonderzoeker Orange Tsai van securitybedrijf DEVCORE. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9.9 beoordeeld. Beheerders wordt aangeraden om te updaten naar 4.13.17, 4.14.12 of 4.15.5. Een andere oplossing is het uitschakelen van vfs_fruit.
Half miljoen WordPress-sites kwetsbaar door lek in populaire plug-in
Nog zeker een half miljoen WordPress-sites zijn kwetsbaar door een kritieke kwetsbaarheid in een populaire plug-in. Via het beveiligingslek, aanwezig in de plug-in Essential Addons for Elementor, kan een aanvaller kwetsbare websites op afstand overnemen. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Voor Elementor zijn allerlei uitbreidingen beschikbaar, waaronder Essential Addons. Deze uitbreiding voorziet Elementor van meer dan tachtig elementen en extensies. Een kwetsbaarheid in de uitbreiding zorgt ervoor dat een willekeurige gebruiker, ongeacht authenticatie en autorisatie, een bestand met malafide PHP-code kan uploaden waardoor remote code execution mogelijk is. Het beveiligingslek werd op 25 januari door securitybedrijf Patchstack aan de ontwikkelaars gemeld. Die kwamen op 28 januari met versie 5.0.5 waarin de kwetsbaarheid volledig is verholpen. Essential Addons is op meer dan een miljoen WordPress-sites geïnstalleerd. Volgens cijfers van WordPress draait 53 procent van de installaties versie 4.9 of ouder, die ook kwetsbaar zijn. Het zou dan om 530.000 websites gaan. Sinds het uitkomen van de update is de plug-in 443.000 keer gedownload, wat suggereert dat de meeste installaties met versie 5 inmiddels zijn geüpdatet.
QNAP verklaart installatie van firmware-update op NAS-systemen
QNAP heeft meer informatie gegeven over de firmware-update die het vorige week op tal van NAS-systemen installeerde om die zo tegen de Deadbolt-ransomware te beschermen. Deadbolt maakt misbruik van een kwetsbaarheid in de QTS-firmware waardoor het mogelijk is voor aanvallers om willekeurige code op systemen uit te voeren. Het beveiligingslek werd afgelopen december verholpen. Vorige week waarschuwde QNAP gebruikers voor de Deadbolt-ransomware. Kort daarna lieten allerlei gebruikers weten dat hun NAS-systeem ongevraagd was geüpdatet en ze de installatie van automatische updates nooit zelf hadden ingeschakeld. Sommige gebruikers spraken zelfs van een backdoor. QNAP heeft vandaag meer informatie over het proces gegeven. Met de lancering van QTS 4.5 voegde QNAP een optie toe voor de automatische installatie van updates. Deze optie stond standaard uitgeschakeld. Vorig jaar juni verscheen QTS 4.5.3 waarin QNAP de optie voor de installatie van "aanbevolen versies" standaard inschakelde. Dit stond in de release notes vermeld. Om gebruikers tegen de Deadbolt-ransomware te beschermen besloot QNAP vorige week om de firmware-update van december als een "aanbevolen" update te bestempelen, waardoor die automatisch bij gebruikers kon worden geïnstalleerd. "De aanbevolen versie geldt niet voor elke update. Daardoor beseften mensen niet dat de installatie van aanbevolen updates op hun NAS stond ingeschakeld", zegt een medewerker van QNAP vandaag op het forum van de NAS-fabrikant. In een verdere verklaring erkent QNAP dat services die op de NAS draaien tijdens de update kunnen worden onderbroken. "We zoeken continu naar manieren om onze producten te verbeteren. Toekomstige software-updates kunnen aanpassingen bevatten die gebruikers beter het updateproces laten beheren", aldus het bedrijf. Dat stelt verder dat gebruikers het automatisch updaten kunnen uitschakelen.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers