Kwetsbaarheden CVE's
VS waarschuwt voor actief aangevallen lek in Oracle Fusion Middleware
De Amerikaanse overheid heeft een waarschuwing gegeven voor een actief aangevallen kwetsbaarheid in Oracle Fusion Middleware. Via het beveiligingslek kan een aanvaller kwetsbare installaties op afstand overnemen. De kwetsbaarheid, aangeduid als CVE-2021-35587, bevindt zich specifiek in de Oracle Access Manager. Dit is een onderdeel van Oracle Fusion Middleware en is een Single Sign-On-oplossing voor authenticatie en autorisatie. Oracle Fusion Middleware bestaat uit een reeks producten waarmee bedrijven applicaties kunnen ontwikkelen en draaien. Begin dit jaar kwam Oracle met een beveiligingsupdate voor de kwetsbaarheid, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8. Oracle waarschuwt geregeld dat het berichten ontvangt van organisaties die zijn gecompromitteerd omdat beschikbare patches niet zijn geïnstalleerd. In het geval van de nu aangevallen kwetsbaarheid heeft het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, federale overheidsinstanties opgedragen om de update voor 19 december te installeren.
Nederland steunt Europese meldplicht voor actief aangevallen kwetsbaarheden
Het kabinet steunt 'in beginsel' plannen van Brussel om leveranciers van hard- en software te verplichten om actief aangevallen kwetsbaarheden binnen 24 uur te melden bij het Europese cyberagentschap ENISA. Dat laat minister Adriaansens van Economische Zaken weten op vragen vanuit de Tweede Kamer over de Cyber Resilience Act (CRA). De Europese presenteerde de CRA afgelopen september. Het wetsvoorstel verplicht leveranciers van hardware en software om cybersecurity-maatregelen te nemen om hun producten te beveiligen, waaronder het aanbieden van beveiligingsupdates voor een periode van vijf jaar. De CRA moet gaan gelden voor producten met digitale elementen en beslaat zowel hardware als software. Het wetsvoorstel stelt verschillende verplichtingen aan leveranciers. Zo moeten die bij de planning, ontwerp, ontwikkeling, productie, levering en beheer rekening met cybersecurity houden. Ook moeten alle cyberrisico's zijn gedocumenteerd en moeten leveranciers actief aangevallen kwetsbaarheden en beveiligingsincidenten rapporteren. Zodra een product eenmaal op de markt wordt aangeboden moet het minstens vijf jaar van beveiligingsupdates worden voorzien. Ook moeten leveranciers duidelijke en begrijpelijke instructies geven voor het gebruik van producten met digitale elementen. Producten mogen straks alleen op de Europese markt worden aangeboden wanneer ze aan de "essentiële cybersecurity-verplichtingen" voldoen. De CRA introduceert ook een meldplicht voor leveranciers van hard- en software. Actief aangevallen kwetsbaarheden moeten binnen 24 uur bij het Europees Agentschap voor cyberbeveiliging (ENISA) worden gerapporteerd, dat vervolgens nationale Cybersecurity Incident Response Teams (CSIRTs) kan informeren. "Het kabinet ziet het belang van het zo snel mogelijk melden van kwetsbaarheden en steunt daarom in beginsel een 24 uurs-termijn voor kwetsbaarheden die reeds actief misbruikt zijn", stelt minister Adriaansens. De VVD had vragen gesteld hoe haalbaar het kabinet het acht om actief aangevallen kwetsbaarheden binnen 24 uur te melden, met name voor middelkleine en kleine fabrikanten, gegeven de nalevings- en handhavingskosten die dit met zich meebrengt. De minister erkent dat er spanning zit tussen het melden van kwetsbaarheden, bijvoorbeeld door het MKB, en de mogelijkheid die de melding biedt om tijdig te handelen om de negatieve gevolgen van misbruik zo veel mogelijk te beperken en slachtoffers te voorkomen. Het kabinet heeft de Europese Commissie gevraagd wat in de meldplicht precies wordt bedoeld met ‘onnodige vertraging’. Daarnaast wordt er nog met fabrikanten, de Commissie en lidstaten over de CRA-meldplicht gesproken.
Google verhelpt wederom actief aangevallen zerodaylek in Chrome
Google heeft voor de achtste keer dit jaar een actief aangevallen zerodaylek in Chrome verholpen. De kwetsbaarheid bevindt zich in het GPU-proces van de browser dat wordt het gebruik voor het weergeven van video of graphics op een website. Via het beveiligingslek is een buffer overflow mogelijk. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De zeroday, aangeduid als CVE-2022-4135, werd gevonden door een onderzoeker van Googles eigen Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Google Chrome 107.0.5304.121/.122 is beschikbaar voor macOS, Linux en Windows. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar.
Androidtelefoons kwetsbaar omdat fabrikanten lek in GPU-driver niet patchen
Androidtelefoons van onder andere Google, Samsung, Xiaomi, Oppo en andere fabrikanten zijn kwetsbaar voor aanvallen omdat bekende kwetsbaarheden in de kerneldriver van de grafische processor (GPU) van de toestellen nog altijd niet zijn verholpen. Daarvoor waarschuwt beveiligingsonderzoeker Ian Beer van Google Project Zero. Begin dit jaar werd bekend dat aanvallers misbruik maakten van een zerodaylek in de kerneldriver van de ARM Mali GPU van Google Pixel-telefoons. Chipfabrikant ARM had op 6 januari een update voor de kwetsbaarheid uitgebracht. Via het beveiligingslek kan een malafide app of lokale gebruiker rootrechten krijgen. Vorig jaar werd de Mali GPU ook al het doelwit van zeroday-aanvallen. Het Androidlandschap is erg versnipperd doordat fabrikanten hun eigen hardware en Androidversies gebruiken, wat het lastig voor aanvallers maakt om een kwetsbaarheid te vinden die tegen meerdere toestellen kan werken. Veel Androidtelefoons maken echter gebruik van dezelfde GPU plus driver, waardoor aanvallers zich op dit onderdeel richten. Naar aanleiding van de zeroday-aanval op Pixel-telefoons eerder dit jaar besloot Google een onderzoek naar de Mali GPU-driver uit te voeren. Dat leverde vijf kwetsbaarheden op waardoor een malafide app of gebruiker met toegang tot het toestel volledige controle over het systeem kan krijgen. Een dergelijke kwetsbaarheid kan bijvoorbeeld worden gecombineerd met een kwetsbaarheid in de browser om telefoons op afstand over te nemen. Google waarschuwde ARM, dat in juli en augustus met patches voor de kwetsbaarheden kwam. Het gaat hier om updates die aan fabrikanten worden aangeboden. Vervolgens maakte Google de details eind augustus en halverwege september openbaar. Soms controleert Google Project Zero de kwaliteit van beschikbaar gemaakte beveiligingsupdates of kijkt of er een variant van de verholpen kwetsbaarheid bestaat. In dit geval bleek dat alle geteste Androidtelefoons nog steeds kwetsbaar waren en het beveiligingslek in geen enkel beveiligingsbulletin van de Androidfabrikanten wordt genoemd. Google Project Zero roept telefoonleveranciers dan ook op om beschikbaar gestelde patches snel in hun eigen beveiligingsupdates te verwerken en onder gebruikers te verspreiden.
Criminelen profiteren nog steeds van niet gepatchte Log4J-gaten
Criminelen profiteren nog steeds van de kwetsbaarheid Log4j, een open source Java-logtool die voor veel applicaties wordt gebruikt. Veel organisaties blijken geen updates door te voeren, zo meldt G DATA CyberDefense in een persbericht. Het aantal nieuwe cyberaanvallen neemt af in het derde kwartaal van 2022, zegt het Duitse antivirusbedrijf. In plaats van nieuwe aanvalsgolven lanceren cybercriminelen momenteel gerichte aanvallen op bedrijven die ze eind vorig jaar al hadden geïnfiltreerd via de kwetsbaarheid. Aanvallers installeerden eerder ‘backdoors’ die onopgemerkt bleven. Ze maken daar nu misbruik van en smokkelen extra kwaadaardige code het netwerk in, inclusief ransomware. “Bijzonder verontrustend is het feit dat nog niet alle organisaties de kwetsbaarheid hebben opgelost. Dit betekent dat ze nog steeds een potentieel doelwit zijn voor cybercriminelen”, zo schrijft het bedrijf. "Wat we aan het begin van het jaar hadden voorspeld over de exploitatie van de Log4j-kwetsbaarheid komt nu uit,” zegt Eddy Willems, security-expert bij G DATA CyberDefense. “Dankzij Log4j was het voor cybercriminelen een fluitje van een cent om honderdduizenden systemen te infecteren. De tijd van oogsten is helaas nu aangebroken. Daarentegen daalt het aantal nieuwe aanvallen in vergelijking met het vorige kwartaal in 2022 wel, namelijk met zo’n 13,7%. Bij consumenten is de daling groter dan bij bedrijven. Het aantal afgewende aanvallen op zakelijke klanten daalde van het tweede kwartaal naar het derde kwartaal met 7,5% en voor particuliere klanten met bijna 15%.” Met name malware genaamd Berbew, Neojitt en Formbook wordt gebruikt om systemen aan te vallen. Berbew leest wachtwoorden en verstuurt deze naar een externe webserver, het fungeert ook als een webproxy waardoor criminelen het geïnfecteerde systeem kunnen gebruiken als een schakelaar voor externe toegang tot andere systemen. FormBook steelt informatie zoals inloggegevens, in de cache van webbrowsers of via screenshots. Dit wordt op diverse forums aangeboden als een Malware-as-a-Service (MaaS).
Actief misbruik van Microsoft Exchange Servers
Proof of Concept is verschenen
Er is inmiddels een Proof of Concept code publiekelijk verschenen. Deze beschrijft de methode om misbruik te maken van de eerder geconstateerde kwetsbaarheden in Microsoft Exchange Servers. Dit nieuws maakt het extra urgent om het eerdere advies zo snel mogelijk op te volgen: update naar de laatst beschikbare versie. Ook de mitigerende maatregelen die Microsoft eerder heeft uitgebracht blijven van kracht. Naast het toepassen van een specifieke URL request rewrite-rule adviseert Microsoft met klem om PowerShell-toegang voor standaardgebruikers uit te schakelen. Lees meer over het uitschakelen van PowerShell-toegang.
Kritieke kwetsbaarheid in Tailscale-client maakt overnemen systemen mogelijk
Onderzoekers hebben in de Tailscale-client voor Windows een kritieke kwetsbaarheid ontdekt waardoor aanvallers op afstand systemen kunnen overnemen. Alleen het bezoeken van een malafide of gecompromitteerde website is voldoende, er is geen verdere interactie van gebruikers vereiste om remote code execution mogelijk te maken. Tailscale heeft een beveiligingsupdate uitgebracht, maar gebruikers moeten die handmatig installeren, aangezien de software niet over een automatische updatefunctie beschikt. Tailscale is een service voor het opzetten van een mesh vpn. Waar traditionele vpn's al het verkeer via een centrale gateway-server laten lopen, creëert Tailscale een op het WireGuard vpn gebaseerd peer-to-peer mesh-netwerk. De informatie over ip-adressen van nodes op het netwerk, controle van gebruikers, Wireguard public keys en andere zaken voor het netwerk worden door een centraal "control plane" verstuurd. Door middel van dns rebinding is het mogelijk om Windows-clients van Tailscale verbinding met een malafide coördinatieserver te laten maken. Dns rebinding is een techniek waardoor een aanvaller de same-origin policy van de browser kan omzeilen en toegang kan krijgen tot apparaten op het lokale netwerk van de gebruiker. Via de malafide coördinatieserver is het vervolgens mogelijk om de instellingen van de Windows Tailscale-client aan te passen en die een bestand te laten downloaden en uitvoeren, zonder enige interactie van de gebruiker. De kwetsbaarheid, aangeduid als CVE-2022-41924, werd gevonden door onderzoekers Jamie McClymont en Emily Trau. Ze waarschuwden Tailscale op 16 november. Zeven uur na de melding waren de problemen verholpen en ontvingen de onderzoekers een beloning van 10.000 dollar, ook al heeft Tailscale geen bugbountyprogramma voor het belonen van bugmeldingen. Tailscale adviseert gebruikers van de Windows-client om te updaten naar versie 1.32.3.
F5 BIG-IP-servers via CSRF-kwetsbaarheid op afstand over te nemen
Een kwetsbaarheid in de BIG-IP-servers van fabrikant F5 maakt het mogelijk voor aanvallers om de apparaten op afstand over te nemen. De enige vereiste is dat een op de BIG-IP ingelogde beheerder met dezelfde browser waarmee hij is ingelogd een malafide of gecompromitteerde website bezoekt, of besmette advertentie te zien krijgt. Er is geen verdere interactie vereist. F5 heeft "engineering hotfixes" uitgebracht die klanten zelf moeten aanvragen. De kwetsbaarheid, aangeduid als CVE-2022-41622, betreft een cross-site request forgery (CSRF) probleem. Via CSRF is het mogelijk voor een aanvaller om handelingen vanuit de browser van de gebruiker uit te voeren zodra er webcontent van de aanvaller wordt verwerkt. Wanneer een BIG-IP-beheerder is ingelogd kan een aanvaller zo toegang tot de server krijgen. De impact van het beveiligingslek, dat door securitybedrijf Rapid7 werd ontdekt, is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Het BIG-IP-platform van F5 wordt voor verschillende toepassingen gebruikt, zoals load balancing en application delivery. De afgelopen jaren zijn kwetsbaarheden in BIG-IP geregeld het doelwit van aanvallen geweest. F5 heeft "engineering hotfixes" uitgebracht om het probleem te verhelpen. Klanten moeten deze oplossing wel zelf bij F5 aanvragen. Een andere workaround die F5 adviseert is het gebruik van een aparte, geïsoleerde browser voor het beheer van BIG-IP-servers.
Apple verhelpt lekken die remote code execution in iOS en macOS mogelijk maken
Apple heeft beveiligingsupdates voor iOS en macOS uitgebracht die meerdere kwetsbaarheden verhelpen waardoor remote code execution mogelijk is. De twee beveiligingslekken, aangeduid als CVE-2022-40303 en CVE-2022-40304, zijn gevonden door onderzoekers van Google Project Zero en bevinden zich in de libxml2, een library voor het verwerken van xml-documenten. Via beide kwetsbaarheden kan een remote user een app laten crashen of willekeurige code uitvoeren, aldus Apple. Meer details zijn niet over de beveiligingslekken gegeven. Gebruikers van iOS en iPadOS wordt aangeraden om te updaten naar iOS 16.1.1 en iPadOS 16.1.1. Voor gebruikers van macOS Ventura is versie 13.0.1 uitgekomen. Updaten kan via iTunes, de updatefunctie van het systeem en de Mac App Store.
Lenovo patcht ernstige kwetsbaarheden in secure boot firmware
De kwetsbaarheden stellen cybercriminelen in staat om kwaadaardige code uit te voeren voordat een apparaat opstart. Lenovo heeft een reeks patches uitgebracht voor kwetsbaarheden in de UEFI-firmware van meerdere laptopmodellen. De kwetsbaarheden werden geclassificeerd als ‘high-severity’ en stellen aanvallers in staat om het secure boot-proces van laptops uit te schakelen. Dit maakt het mogelijk om laptop terug te zetten naar de fabrieksinstellingen en malware te laden. Het secure boot-proces vindt plaats tijdens het opstarten van een laptop. De techniek zorgt ervoor dat alleen vertrouwde componenten en software worden geladen. Secure boot is ontworpen om kwaadaardige of gewijzigde firmware te voorkomen. De kwetsbaarheden werden door ESET Research Labs gevonden. Onderzoekers ontdekten dat de secure boot-instellingen van Lenovo pc’s gewijzigd kunnen worden door de NVRAM-variabel aan te passen. Het uitvoeren van kwaadaardige code vóór het opstarten van een besturingssysteem is gevaarlijk, aangezien de securitymaatregelen van een apparaat op dat moment nog niet zijn ingeschakeld. Aanvallers hebben vrij spel. De door ESET gevonden kwetsbaarheden bevinden zich in testdrivers die uitsluitend bedoeld waren voor interne productieprocessen. Lenovo nam de drivers per ongeluk mee in de firmware van commerciële laptops. Lenovo heeft patches uitgebracht voor alle getroffen apparaten die worden ondersteund. Twee van de bugs (CVE-2022-3430 en CVE-2022-3431) zijn aanwezig in meerdere IdeaPad-, ThinkBook-, Yoga- en Slim 7-modellen. Een van de bugs (CVE-2022-3432) treft alleen de Lenovo Ideapad Y700-14ISK. Dit model wordt niet langer ondersteund, waardoor de patch ontbreekt. “Een potentiële kwetsbaarheid in drivers die tijdens het productieproces op sommige Lenovo-notebooks voor consumenten worden gebruikt — en per ongeluk niet zijn gedeactiveerd — kan een aanvaller in staat stellen om de secure boot-instellingen te wijzigen”, aldus de Lenovo advisory voor CVE-2022-3431. Lenovo adviseert gebruikers om hun apparaten zo snel mogelijk te updaten.
Citrix roept organisaties op om kritiek lek in Gateway en ADC snel te patchen
Citrix heeft organisaties opgeroepen om een kritieke kwetsbaarheid in Citrix Gateway en Citrix ADC zo snel mogelijk te patchen. Via het beveiligingslek kan een aanvaller de authenticatie omzeilen en ongeautoriseerde toegang krijgen. Citrix ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. De luxere versies bieden ook bescherming tegen dos-aanvallen en een webapplicatiefirewall. Via de Citrix Gateway kunnen medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten krijgen. Het wordt dan ook veel voor thuiswerken gebruikt. Waarbij de Citrix ADC een apart apparaat is, is de Gateway een softwareoplossing die organisaties op een server moeten installeren. Het kritieke beveiligingslek waarvoor Citrix waarschuwt, aangeduid als CVE-2022-27510, doet zich alleen voor wanneer de ADC of Gateway als vpn-gateway zijn geconfigureerd. Verdere details over het lek zijn nog niet bekendgemaakt. Vanwege de impact van een gecompromitteerd systeem, waardoor verdere aanvallen mogelijk zijn, adviseert Citrix om de beschikbaar gemaakte beveiligingsupdates zo snel mogelijk te installeren. Een uit 2019 stammende kwetsbaarheid in Citrix Gateway en ADC werd destijds op grote schaal gebruikt en zorgde in Nederland volgens de ANWB zelfs voor files. Vorige maand meldde de Amerikaanse overheid dat dit beveiligingslek nog altijd geliefd is bij aanvallers.
Citrix waarschuwt voor apparaatovernames door gevaarlijk lek in ADC en Gateway
Citrix roept klanten op een belangrijke securitypatch te installeren voor Citrix ADC en Citrix Gateway. Met die kwetsbaarheden is het mogelijk om toegang te krijgen tot een apparaat en dat over te nemen. Ook externe beveiligingsonderzoekers waarschuwen voor de bug. Citrix schrijft in een advisory dat er drie kwetsbaarheden zitten in Application Delivery Controller, of ADC, en Gateway. Door die drie kwetsbaarheden als een chain te gebruiken, is het mogelijk om op afstand een apparaat over te nemen. De bugs zijn alleen uit te buiten op apparaten die als Gateway zijn ingesteld, dus die de vpn-functie van de Gateway-software gebruiken of als een ICA-proxy zijn ingesteld. Dat is een veelgebruikte functie van Gateway; veel klanten hebben de software zo ingericht. Citrix-clouddiensten zijn niet kwetsbaar, omdat de bugs daar al door Citrix zijn opgelost.
De kwetsbaarheden zitten in de meeste versies van na 12.1. Dat zijn de volgende versies:
- Citrix ADC en Citrix Gateway 13.1 vóór 13.1-33.47
- Citrix ADC en Citrix Gateway 13.0 vóór 13.0-88.12
- Citrix ADC en Citrix Gateway 12.1 vóór 12.1.65.21
- Citrix ADC 12.1-FIPS vóór 12.1-55.289
- Citrix ADC 12.1-NDcPP vóór 12.1-55.289
Citrix zegt dat versies vóór 12.1 al end-of-life zijn. Omdat die geen beveiligingsupdates meer krijgen, zegt Citrix niet of die versies kwetsbaar zijn voor deze specifieke bug. Het bedrijf raadt klanten daarvan aan de software in ieder geval naar een wel ondersteunde versie te upgraden. In ADC en Gateway zitten drie kwetsbaarheden. De eerste daarvan krijgt een Critical-rating mee omdat die het mogelijk maakt om op afstand toegang te krijgen tot een Gateway-apparaat. Ook met de andere twee kwetsbaarheden kan een apparaat mogelijk worden overgenomen, al zijn die ingewikkelder om in de praktijk uit te buiten omdat er bijvoorbeeld een phishingaanval bij nodig is.
Naast Citrix waarschuwen ook onafhankelijke beveiligingsexperts en -instanties voor de kwetsbaarheden. Het Nederlands Nationaal Cyber Security Centrum heeft een advisory uitgebracht waarin het voor de bug waarschuwt. In 2020 werden ook nog ernstige kwetsbaarheden ontdekt in Citrix ADC en Gateway. Daardoor was het mogelijk apparaten met ransomware te infecteren. Omdat de software toen veel werd gebruikt door thuiswerkers, konden veel werknemers en ambtenaren alleen nog op kantoor werken. Daardoor ontstond het populaire woord Citrix-file, omdat het drukker op de weg werd. De Citrix-kwetsbaarheden werden lang niet door iedereen direct opgelost en behoorden in 2020 tot de meest
Microsoft verhelpt zes actief aangevallen zerodays in Exchange en Windows
Tijdens de patchdinsdag van november heeft Microsoft zes actief aangevallen zerodaylekken verholpen. Het gaat onder andere om twee kwetsbaarheden in Exchange Server die in september al bekend werden gemaakt en waarvan velen dachten dat de updates vorige maand al zouden verschijnen. Via deze twee zerodaylekken kan een aanvaller met de inloggegevens van een mailbox de Exchange-server overnemen. Een kritiek zerodaylek in de Windows Scripting Languages maakt ook remote code execution mogelijk. Alleen het bezoeken van een malafide website of server share volstaat om de aanval uit te voeren, verdere interactie is niet vereist. Deze kwetsbaarheid (CVE-2022-41128) werd door een onderzoeker van Google gevonden. Verder heeft Microsoft ook een zeroday verholpen waardoor het mogelijk is de Mark-of-the-Web (MOTW) beveiliging van Windows te omzeilen. MOTW zorgt ervoor dat bestanden die via internet zijn gedownload door Windows van een aparte tag worden voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het vanaf internet afkomstig is. Wanneer een bestand van een ongeldige digitale handtekening wordt voorzien zal de waarschuwing niet verschijnen. Criminelen hebben dit probleem onder andere misbruikt voor de verspreiding van ransomware. De overige twee zerodaylekken (CVE-2022-41125 en CVE-2022-41073) bevinden zich in de Windows CNG Key Isolation Service en Windows Print Spooler en maken het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen en zo volledige controle over het systeem te krijgen. Deze twee kwetsbaarheden zijn zelf door Microsoft gevonden. Het techbedrijf geeft geen details over de waargenomen aanvallen en wie doelwit waren. De updates worden op de meeste systemen automatisch geïnstalleerd.
Installeer beveiligingsupdates binnen 48 uur
Australische burgers en bedrijven zouden beveiligingsupdates binnen 48 moeten installeren, aangezien aanvallers steeds sneller misbruik van beveiligingslekken maken zodra leveranciers met patches komen. Dat advies geeft het Australische Cyber Security Centre (ACSC) in het jaarlijkse Cyber Threat Report. Het ACSC ontving het afgelopen jaar in totaal 76.000 meldingen van cybercrime. Het ging onder andere om Business Email Compromise (BEC). Bij BEC, waar ook ceo-fraude onder valt, weten aanvallers via bijvoorbeeld phishing of zwakke of hergebruikte wachtwoorden toegang tot e-mailaccounts te krijgen. Via de gekaapte accounts, maar ook door gebruik te maken van gespoofte e-mailadressen of typosquatting, waarbij ze domeinen registreren die op die van een legitieme organisatie lijken, sturen de aanvallers malafide e-mails. Zo doen de oplichters zich bijvoorbeeld voor als leverancier en verzoeken afnemers om betalingen naar andere rekeningen over te maken, of wordt de financiële administratie van een aangevallen organisatie verzocht om bepaalde facturen te betalen, waarbij het geld moet worden overgemaakt naar door de aanvallers opgegeven rekeningen. Op deze manier wisten criminelen omgerekend 64 miljoen euro van Australische bedrijven te stelen. Het gemiddelde schadebedrag bedroeg 42.000 euro. Verder was het ACSC bij 135 ransomware-incidenten betrokken, een stijging van 75 procent ten opzichte van het jaar daarvoor. De Australische overheidsinstantie waarschuwde 148 organisaties voor ransomware op hun netwerk. Ransomware blijft volgens het ACSC de schadelijkste vorm van cybercrime. Het is daarbij belangrijk dat zowel eindgebruikers als organisaties hun systemen up-to-date houden. De grootste incidenten waar het ACSC het afgelopen jaar bij werd ingeschakeld werden veroorzaakt door het niet installeren van beschikbare patches. Zo schat de overheidsinstantie dat er in Australië 150.000 tot 200.000 ongepatchte routers bij eindgebruikers en mkb-bedrijven zijn. "Routers staan erom bekend dat ze onveilige firmware, hardcoded backdoors en inconsistente updates hebben. Zelfs wanneer patches beschikbaar zijn, is het zeer onwaarschijnlijk dat individuele gebruikers die zullen installeren", aldus het ACSC. De overheidsinstantie roept organisaties en burgers dan ook op om patches binnen 48 uur na het uitkomen te installeren en waar mogelijk automatische updates in te schakelen. Verder wordt het gebruik van passphrases en inschakelen van multifactorauthenticatie voor accounts aangeraden.
"OpenSSL-kwetsbaarheden ongeschikt voor grootschalig misbruik"
De kwetsbaarheden in OpenSSL waarvoor gisteren een beveiligingsupdate verscheen zijn ongeschikt voor grootschalig misbruik, zo stellen verschillende securitybedrijven. Pas als er aan verschillende voorwaarden is voldaan kan een aanval plaatsvinden. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Kwetsbaarheden in de software kunnen grote gevolgen hebben, zoals de Heartbleed-bug uit 2014 aantoonde. De twee verholpen beveiligingslekken, CVE-2022-3602 en CVE-2022-3786, bevinden zich in de code van OpenSSL die verantwoordelijk is voor de verificatie van X.509-certificaten. Deze code wordt meestal op een client uitgevoerd die zich bij een server wil authenticeren en het certificaat gepresenteerd krijgt. Om misbruik van de kwetsbaarheden te maken zou een certificaatautoriteit, vertrouwd door het slachtoffer, een malafide certificaat moeten hebben gesigneerd. Het slachtoffer moet vervolgens het malafide certificaat valideren of een aantal waarschuwingen van de browser negeren. Daarnaast moet er gebruik worden gemaakt van OpenSSL 3.0.x tot en met 3.0.6. Een eindgebruiker zou bijvoorbeeld risico lopen wanneer hij een malafide website bezoekt die een certificaat met een exploit aanbiedt. Dit certificaat moet door een certificaatautoriteit zijn gesigneerd. Om een server aan te vallen zou die wederzijdse authenticatie moeten ondersteunen. Hierbij bieden zowel de client als de server een geldig en gesigneerd X.509-certificaat aan. De client biedt dan een malafide certificaat aan, legt internetbedrijf Cloudflare uit. Dit is een ongebruikelijke configuratie, stelt securitybedrijf Rapid7. In het geval van een aanval op de browser of e-mailclient van een eindgebruiker zou de aanvaller het slachtoffer eerst verbinding met een malafide server moeten laten maken. Bijvoorbeeld door een man-in-the-middle-aanval of een phishinglink. "In beide gevallen zijn deze aanvallen niet goed geschikt voor grootschalig misbruik", aldus Rapid7, doelend op zowel de client- als server-aanval. Securitybedrijf Censys stelt dat de kans op misbruik bij een eindgebruiker groter is dan bij een server, gezien de ongewone setup die bij de laatste is vereist.
Kwetsbaarheid in Azure Cosmos DB staat remote code execution toe
Een kwetsbaarheid in Microsoft Azure Cosmos DB stelde niet-gemachtigde cybercriminelen in staat om code op afstand uit te voeren, ook wel bekend als remote code execution (RCE). Microsoft Azure Cosmos DB is een populaire noSQL database onder grootbedrijven in de retail en e-commerce. Organisaties gebruiken de database voor dataverwerking en opslag. Een integratie van Jupyter Notebook maakt het mogelijk om bewerkingen uit te voeren, waaronder data cleaning en data transformation. Onderzoekers van Orca Security ontdekten onlangs een kwetsbaarheid in de Jupyter Notebook-integratie van Azure Cosmos DB. De kwetsbaarheid maakte het mogelijk om zonder machtiging toegang te krijgen tot Jupyter Notebook, code te injecteren en code te vervangen. Een riskant probleem, want Jupyter Notebook wordt regelmatig gebruikt voor de verwerking van privacygevoelige data, waaronder inlog- en klantengegevens. Er is geen bewijs dat de kwetsbaarheid in de praktijk door cybercriminelen is misbruikt. Na de vondst werd Microsoft door Orca Security geïnformeerd over het probleem. Twee dagen later voerde de techgigant een automatische patch door voor alle gebruikers van Azure Cosmos DB. De kwetsbaarheid is een ontwerpfout. Elke Jupyter Notebook-omgeving in Azure Cosmos DB heeft een uniek identificatienummer, ook wel bekend als universally unique identifier (UUID). Orca Security ontdekte dat de UUID van een notebook een niet-gemachtigde gebruiker in staat stelt om gemachtigde acties uit te voeren, waaronder het injecteren en vervangen van code. Azure Cosmos DB trof geen tot weinig maatregelen om de UUID’s van Jupyter Notebook te beveiligen. Een gemachtigde gebruiker kon de UUID eenvoudig ophalen door in te loggen. Normaliter heeft een gebruiker geen reden om de UUID op te halen, laat staan te delen. Cybercriminelen kunnen daarentegen redenen verzinnen. In theorie kan een hacker zich voordoen als supportmedewerker, de UUID bij een gebruiker opvragen en vervolgens op Jupyter Notebook inloggen. Sinds de patch bieden UUID’s geen toegang meer voor niet-gemachtigde gebruikers. Inmiddels heeft elke gebruikers een authenticatietoken nodig om gemachtigd in te loggen. Twee dagen na de melding van Orca Security loste Microsoft het probleem op. De onderzoekers werden positief verrast. Eerder dit jaar vond Orca Security een kritieke kwetsbaarheid in Azure Synapse, waarna Microsoft het incident 89 dagen lang onder de tafel schoof. Als gevolg stuitte het patchbeleid van de techgigant op hevige kritiek.
Lek in Microsoft Jupyter Notebooks maakte toegang tot klantgegevens mogelijk
Een kwetsbaarheid in Microsofts Jupyter Notebooks for Azure Cosmos DB maakte ongeautoriseerde toegang tot klantgegevens mogelijk. Microsoft heeft het probleem, dat aanwezig was van 12 augustus tot 6 oktober, inmiddels verholpen en zegt dat er geen misbruik van het beveiligingslek is gemaakt. Jupyter Notebooks is een open source interactieve ontwikkelomgeving. Het wordt onder andere gebruikt voor datavisualisatie, het delen van code, machine learning, statische modellering, datatransformaties en simulaties. Een kwetsbaarheid maakte het mogelijk om zonder geldige inloggegevens toegang te krijgen. De enige vereiste was het achterhalen van de GUID van een actieve sessie. Volgens Microsoft was misbruik van de kwetsbaarheid lastig, aangezien het om een 128-bit willekeurig GUID gaat en sessies één uur bestaan. Na een uur worden de workspace en alle data daarin, waaronder de notebooks, automatisch verwijderd. Het probleem met de authenticatie werd veroorzaakt door een aanpassing in een backend-API waar AzureCosmos DB Jupyter Notebooks gebruik van maken.
OpenSSL schaalt kwetsbaarheid (CVE-2022-3602) af van kritiek naar high
OpenSSL heeft vandaag een beveiligingsupdate uitgebracht voor een kwetsbaarheid in OpenSSL 3.0 die eerst als kritiek was aangekondigd, maar vanwege mitigerende maatregelen is afgeschaald naar het lagere impactniveau "High". Via de kwetsbaarheid (CVE-2022-3602) kan een aanvaller een denial of service veroorzaken of in potentie op afstand code uitvoeren. Veel platformen maken echter gebruik van beveiligingsmaatregelen die dergelijke remote code execution moeten voorkomen, aldus het OpenSSL Project Team. OpenSSL behoort tot de meest gebruikte softwarecomponenten voor het versleutelen van netwerkverbindingen en kwetsbaarheden hierin kunnen grote gevolgen hebben, zoals de HeartBleed-bug in 2014 demonstreerde. De ontwikkelaars laten van tevoren weten wanneer beveiligingsupdates voor OpenSSL uitkomen en wat daarvan de impact is. Vorige week werd aangekondigd dat een kritieke kwetsbaarheid zou worden verholpen. Een beveiligingslek met een dergelijke impact is pas één keer eerder in de software verholpen, namelijk in 2016. Tal van securitybedrijven en overheidsinstanties riepen organisaties dan ook op om zich voor te bereiden, ook al speelt het probleem alleen in OpenSSL 3.0, dat veel minder wordt gebruikt dan OpenSSL 1.1.1. Nu laat het OpenSSL Project Team weten dat er twee kwetsbaarheden in OpenSSL 3.0 zijn verholpen die beide een "high" impact hebben. Dit is het één na hoogste impactniveau wat OpenSSL aanhoudt. Voor beveiligingslekken die als high en critical zijn beoordeeld brengt het OpenSSL-team een nieuwe versie uit. De twee nu verholpen kwetsbaarheden, CVE-2022-3602 en CVE-2022-3786, doen zich voor bij de verificatie van X.509-certificaten. Door middel van een speciaal geprepareerd e-mailadres kan een aanvaller een buffer overrun veroorzaken wat voor een crash van de server kan zorgen. Hiervoor zou een certificaatautoriteit wel eerst een malafide certificaat moeten hebben gesigneerd of een applicatie moeten blijven proberen om een certificaat te verifiëren, ook al is het niet mogelijk om dit bij een vertrouwde uitgever te controleren. In het geval van een TLS-client is de aanval mogelijk wanneer er met een malafide server verbinding wordt gemaakt. Bij een TLS-server is het mogelijk wanneer de server aan clients vraagt zich te authenticeren en een malafide client verbinding maakt. Via CVE-2022-3602 zou ook remote code execution mogelijk zijn. Veel platformen maken echter gebruik van stack overflow-beveiliging, wat tegen het risico van een dergelijke aanval beschermt. Vanwege deze mitigerende factoren is de kwetsbaarheid lager ingeschaald. Desondanks worden organisaties opgeroepen om de update naar OpenSSL 3.0.7 wel te installeren. Het Nationaal Cyber Security Centrum (NCSC) houdt een lijst van kwetsbare applicaties bij, aangezien OpenSSL door veel programma's wordt gebruikt. Ook deze programma's zullen de komende tijd met updates komen.
Kritiek lek in ConnectWise Recover en R1Soft
Een kwetsbaarheid is ontdekt in de backup en disaster recovery-oplossing ConnectWise Recover en de server backup manager R1Soft. ConnectWise maakte afgelopen vrijdag de kwetsbaarheid bekend en stelde op dezelfde dag een patch beschikbaar. Het gaat om een kritiek lek waarmee aanvallers op afstand code kunnen uitvoeren. ConnectWise geeft het lek een prioriteitsrating van 1, wat betekent dat de kwetsbaarheid door aanvallers actief wordt uitgebuit of het risico hierop groot is. ConnectWise adviseert gebruikers te updaten naar ConnectWise Recover 2.9.9 en R1Soft 6.16.4. De kwetsbaarheid is ontdekt door het beveiligingsbedrijf Huntress. CEO Kyle Hanslovan meldt aan SecurityWeek dat onderzoekers van het bedrijf hebben aangetoond dat zij ransomware konden pushen naar bijna 5.000 R1Soft-servers. Het merendeel hiervan staat in Europa en Noord-Amerika. Hanslovan wijst ook op potentiële supply chain-aanvallen aangezien veel getroffen systemen van cloud hosting providers en MSP's zijn. In een blogpost deelt het bedrijf meer details over de aanval. Beide updates zijn afgelopen vrijdag beschikbaar gesteld. Sommige beveiligingsonderzoekers zetten vraagtekens bij de timing. Zij stellen dat veel servers in de praktijk pas op maandag geüpdatet worden, waardoor deze het weekend kwetsbaar blijven.
Zevenduizend servers met OpenSSL 3.0 op internet
Vanmiddag verschijnt er een belangrijke beveiligingsupdate voor OpenSSL 3.0, maar het aantal kwetsbare servers is zeer beperkt, zo stelt securitybedrijf Censys. Het bedrijf vond slechts zevenduizend servers die van OpenSSL 3.0 gebruikmaken, waarvan 167 in Nederland. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Kritieke kwetsbaarheden worden zelden in de software gevonden. Het is pas de tweede keer dat er een kritieke beveiligingsupdate verschijnt. De vorige keer was in 2016. Via dergelijke beveiligingslekken kunnen aanvallers bijvoorbeeld servers overnemen of de private keys van de server stelen, waarmee versleuteld verkeer is te ontsleutelen. Daardoor kunnen aanvallers allerlei gevoelige gegevens buitmaken. Vorig jaar september kwam OpenSSL met versie 3.0, de eerste grote release in drie jaar tijd. De meeste organisaties werken echter nog met OpenSSL 1.1.x, die niet kwetsbaar is. Censys ontdekte op internet bijna 1,8 miljoen servers die één of meerdere services draaien die van OpenSSL gebruikmaken. Slechts 7000 daarvan (0,4 procent) draaien OpenSSL. In Nederland werden 167 servers aangetroffen. Het gaat dan met name om OpenSSL versies 3.0.1 en 3.0.5.
NSA publiceert best practices voor beveiligen van software supply chain
De Amerikaanse geheime dienst NSA heeft best practices gepubliceerd voor het beveiligen van de software supply chain. Aanleiding was onder andere de SolarWinds-aanval en Log4j-kwetsbaarheid. Volgens de NSA laten deze incidenten zien dat er grote kwetsbaarheden in de softwareketen aanwezig zijn waar aanvallers misbruik van kunnen maken. Om dit tegen te gaan zijn er twee documenten met best practices verschenen, genaamd "Securing the Software Supply Chain" voor ontwikkelaars en leveranciers. Steeds meer softwareontwikkelaars maken binnen hun projecten gebruik van software die door andere partijen is ontwikkeld. Een kwetsbaarheid in deze software kan voor grote problemen zorgen, zoals de Log4j-kwetsbaarheid aantoonde. Daarnaast is het belangrijk dat softwareontwikkelaars hun eigen beveiliging op orde hebben. Zo wisten aanvallers toegang tot de ontwikkelomgeving van SolarWinds te krijgen en konden zo malafide code aan de software van het bedrijf toevoegen, waarmee vervolgens duizenden bedrijven werden besmet. "Preventie wordt vaak gezien als de verantwoordelijkheid van de softwareontwikkelaar, aangezien zij veilige code moeten ontwikkelen en aanleveren, third-party onderdelen verifiëren, en de ontwikkelomgeving beveiligen. Maar de leverancier heeft ook een belangrijke verantwoordelijkheid in het garanderen van de veiligheid en integriteit van onze software", aldus de NSA. De best practices van de geheime dienst richten zich op het ontwikkelen van een softwarearchitectuur vanuit een beveiligingsperspectief, het toevoegen van beveiligingsfeatures, het beschermen van de code tegen ongeautoriseerde aanpassingen, het verifiëren van de integriteit van gepubliceerde software, controleren van broncode, het opstellen van beveiligingseisen voor derde partijen en het adequaat reageren op meldingen van kwetsbaarheden.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers